であればセキュリティ対策のしようがない。
htmlspecialchars掛けたって偽装URLは排除しようがない。

>>234のようにあらかじめURLの選択肢が決まっているのであれば
そのURLを直接送信せずに選択肢番号のみを送信し、受け取った 2.php 内で
その番号に応じたURLを埋め込むような仕様にすべき。