return_url deki değişkenleri görüyor doğal olarak, adres satırına göndermeden önce htmlentities yada htmlspecialchars kullan, geri basarkende html_entity_decode yada htmlspecialchars_decode kullan..