urlencode trasforma tutti i caratteri non alfanumerici in un "%" seguito da due caratteri alfanumerici, e lo spazio in "+", questo significa che se qualcuno scrivesse nella tua URL "<script>" questo diventerebbe "%3Cscript%3" oppure "<?" diventerebbe %3C%3F....
quindi è mooolto più difficile nuocere