return_url deki değişkenleri görüyor doğal olarak, adres satırına göndermeden önce htmlentities yada htmlspecialchars kullan, geri basarkende html_entity_decode yada htmlspecialchars_decode kullan..
Enigmatic dedigini tam anlamadim :S return_url kodu bu
if(isset($_POST['return_url'])) { $return_url = $_POST['return_url']; } elseif(isset($_GET['return_url'])) { $return_url = $_GET['return_url']; } else { $return_url = ""; }
$return_url = urldecode($return_url);
$return_url = str_replace("&", "&", $return_url);