Tach!

In $g steht also eine Nutzereingabe.

Die Herkunft des Inhalts ist komplett irrelevant.

echo "<a href = \"Erfassung.php/?geb=" . $g . 
                "\"" .">Erfassung</a>"

Und hier gibt du diese Nutzereingabe unbearbeitet aus.

Egal welcher Inhalt und woher der kommt, er muss auf jeden Fall den Kontextregeln entsprechend aufbereitet sein. (In dem Fall zuerst URL-gerecht und anschließend HTML-gerecht.) Es ist nicht sinnvoll, zwischen Benutzereingabe und anderen Daten zu unterscheiden. Alle Daten benötigen die gleiche Aufmerksamkeit.

dedlfix.