controllare che il valore della stringa sia un valore aspettato e accettabile.
questo perchè potrebbe andare a modificare l'output effettivo...

Esempio:
<meta http-equiv="refresh" content="0; url=/schlecht/">example<!--">

la parte in grassetto sarebbe il valore di $chi