Hi!

Und "http://localhost/unterordner/index.php/option/?bla=<script>alert(42)</script>" erzeugt was?

Falscher Kontext. Der übergebene Wert soll in einen Dateipfad eingefügt werden.

Denke daran, alle Nutzereingaben vor der Ausgabe zu behandeln (zumindest mit htmlspecialchars()), um keine Sicherheitslücken (XSS) aufzureißen!

Keine Ausgabe, nix mit XSS - andere Baustelle - anderes Gefährdungspotential.

Lo!