Это не уязвимость, не так ли? Это действительный контент. Если это создает уязвимость для вашего приложения (например, WHERE user LIKE '%admin%'), вам следует рассмотреть возможность проверки / фильтрации самих входных данных, используя sth вроде:
if (strpos('%', $input)){
$input = strtr($input, '%', '');
}