if(isset($_GET["fname"]) && isset($_GET["lname"])){
    echo htmlspecialchars($_GET["fname"], ENT_QUOTES);
    $re = str_replace('script', '/', $_GET['lname']);
    echo $re;
}
# use arjun tool to find hidden parameter