Невозможно предотвратить внедрение JavaScript в URL

В веб-приложении PHP (cakephp 2.x) я сталкиваюсь с внедрением JavaScript в URL

https://example.com/products/items/MTC5«OnMouseOver% 3Dalert (9)% 3B»

Из-за указанного выше URL, при наведении курсора на страницу появляются оповещения.

Я пытался удалить («, ‘) кавычки из URL, но все равно появляется предупреждение

$ _SERVER [‘REQUEST_URI’] = str_replace (‘»‘, »,
urldecode ($ _ SERVER [ ‘REQUEST_URI’]));

Нужно ли перенаправлять URL-адрес, если в URL-адресе есть цитаты? любое предложение