Tach!
In
$g
steht also eine Nutzereingabe.
Die Herkunft des Inhalts ist komplett irrelevant.
echo "<a href = \"Erfassung.php/?geb=" . $g . "\"" .">Erfassung</a>"
Und hier gibt du diese Nutzereingabe unbearbeitet aus.
Egal welcher Inhalt und woher der kommt, er muss auf jeden Fall den Kontextregeln entsprechend aufbereitet sein. (In dem Fall zuerst URL-gerecht und anschließend HTML-gerecht.) Es ist nicht sinnvoll, zwischen Benutzereingabe und anderen Daten zu unterscheiden. Alle Daten benötigen die gleiche Aufmerksamkeit.
dedlfix.