Dependiendo del tipo de datos que deseas recibir por la url y dónde y cómo los vas a utilizar, debes filtrar estos datos, ya sea usando expresiones regulares, o modificadores. htmlentities() debes usarlo cuando vas a imprimir datos en pantalla, pero no te va a proteger de todos los ataques que puedes recibir vía url.