en realidad, aunque con el mismo resultado, me fui por el camino más largo. para hacer las pruebas, basta con crear un formulario que envie al script vulnerable. el navegador mismo se encargará de codificar los parámetros. me funciona tanto en firefox como en chrome.
Código PHP:
# formulario y script vulnerable;
<form><textarea name="injection" cols="80" rows="20"></textarea><br><input type="submit"></form>
<?php
foreach($_GET as $v) echo $v;
?>