In allen Fällen musst du natürlich darauf achten, dass du Daten aus der URL nicht ohne angemessenes Maskieren in den HTML- bzw. JavaScript-Code schreiben kannst.
Du hast dir eine Cross-Site-Scripting-Sicherheitslücke gebaut. Du solltest das schleunigst beheben!
http://www.photobox.de/tracking/redirect-register?reURL=%3Cscript%3Ealert('hallo')%3C/script%3E
http://www.photobox.de/tracking/redirect-register?reURL=javascript:alert('hallo')
Mathias