La "destinazione" viene scritta manualmente dagli utenti e bisognerebbe fare dei controlli di sicurezza... per esempio dovresti almeno limitare il set di caratteri utilizzabili consentendo magari solo lettere, numeri e trattini (per evitare anche injections nel caso uno immetta qualcosa come "../pippo")