Nabend,
von was für einer Sicherheit sprichst du? Wenn du Angst um deinen Server oder deine User hast, da kann von _diesem_ Skript imho keine Gefahr ausgehen.
Viel lieber würd ich ja hier Sinn und Unsinn diskutieren.

<?php
$zeichenkette=str_replace(" ","",$_POST[typenbezeichnung]);
$zeichenkette1=str_replace("-","",$zeichenkette);

header("HTTP/1.1 301 Moved Permanently");
header("Location: http://sampel.com/index.php?title=CTR/$_POST[hersteller]-$zeichenkette1&action=edit");
header("Connection: close");
?>

Warum entfernst du Leerzeichen und Bindestrich aus der Typenbezeichnung? Ist für mich nicht ersichtlich...
Wichtiger wär die Frage, wieso verwendest du eine vermutlich nicht definierte Konstante 'typenbezeichnung' beim Zugriff auf das Array? Ich schätze eher, du wolltest dort einen String haben.
Zur Weiterleitung: Du übergibst einen String als Parameter einer URL. Parameter einer URL müssen entsprechend codiert werden, informier dich da mal bitte.