Úplne po správnosti by ste mali dynamické texty kódovať podľa toho, kde ich používate. Ak napríklad chcete použiť názov súboru v URL, mal by byť zakódovaný pomocou rawurlencode. A všetko, čo má byť použité ako text v HTML, by malo byť zakódované pomocou htmlspecialchars.
echo '<a href="' . htmlspecialchars(rawurlencode($filename)) . '">' . htmlspecialchars($filename) . '</a><br />';