hay algo que se llama cross-site scripting. no es seguro hacer esto http://www.mipagina.com/marco.php?ur....com/index.htm
ya que pueden poner un link con una página infectada y le hecharían la culpa a isp. yo creo que con un simple iframe en html sin php sería lo ideal.