Eu às vezes uso dados do usuário na função phpheader como isso :

header('Location : test' . $user_data);

Eu costumava remover\n e\r para evitar injeção de cabeçalho, mas há outros caracteres de novas linhas? eu escreviLocation no meu exemplo, mas pode ser outra coisa, eu sei que tenho que validar e higienizar o URL, minha pergunta é sobre novas linhas no cabeçalho.