Certo, e ci sono vari modi per farlo.

- Controlla che in quanto inviato non ci siano le stringhe "javascript:", "java-script:";

- Controlla che quanto inviato contenga come primi caratteri "http://";

Hai solo l'imbarazzo della scelta circa quale funzione php usare per fare tali controlli: strpos, strcount, etc.