facil y sencillo para evitar que "inyecte" html al enlace usa strip_tags de php y por cualquiercosa elimina las < y > en los enlaces, creo que con eso deberia bastar, recuerda que tambien existe "html encode" que < puede equivaler a &%54; por así decirlo