No prave ze unescape je to co nechces (z %xx ktore by sa len tak zobrazili, co zrejme aj pouzivatel chce by si urobil spustitelny script :)
Kontrolovat treba inteligentne podla toho kde sa to nachadza, prip. kontrolovat len linky (url tag) inac to nechat tak ako to je, ked napisem do prispevku %xx tak chcem vidiet %xx a nie nejaky znak V tele html je %xx neskodny a normalne sa zobrazi, problem je len v URL a aj to len v specialnych pripadoch, a nekonvertovat to, len kontrolovat, alebo nejak inac zabezpecit URL alebo nevytvarat si na svojom webe scripty ktore zobrazuju nejaky parameter...).