Cita:
Iniciado por Triby 
Si creas los enlaces en tu HTML "escapando" & como & no tendrás problemas, pero posiblemente si los tengas redireccionando con header(), donde no debes escaparlos.
Esa es muy buena observación, y la justificación es bien cierta.
Dependiendo del contexto puede ser una o la otra, por eso preguntaba ¿validar según quien?
HTTP espera el & a secas, mientras HTML require & para validarlo finalmente como & (abstracto)