Кодирование для предотвращения инъекции заголовка

У меня есть переменная $filename это следует рассматривать как вводимые пользователем.

Я использую это $filename В следующих:

header('Content-Disposition: inline; filename="' . $filename . '"');

Как это нужно кодировать для рендеринга $filename безопасно даже при наличии полезной нагрузки?

Изменить: Из того, что я смог найти до сих пор, и что обеспечивается OWASP здесь, возможно, я просто нужно отфильтровать все символы новой строки и формы с подачей символов? Ищу подтверждение или дополнительную информацию. Это единственные требования, которых должно быть достаточно:

preg_replace('/[\f\r\n]/', '', $filename);

Изменить: для этого вопроса предположим, что проверка уже была выполнена, но полезная нагрузка прошла через это, не будучи отклоненной.