quand je valide de la touche entré dans l'url les caractaire spéciaux sont remplacaient par des %23 ou autre.
«Caract
ères» et «remplac
és», par pitié. Donc, comme l'a signalé Iansus, c'est tout à fait normal (à ma connaissance, ça n'a rien à voir avec un échappement, mais c'est de l'«urlencode»). Et en POST, le comportement sera le même, sauf que cela ne se voit pas. Mais tout ça n'a pas d'incidence sur la XSS, il s'agit simplement d'une des méthodes classiques employées pour faire passer des caractères spéciaux dans des protocoles orientés texte.
rien ne ce passe
Curieux, mais sans connaître la version et la configuration exacte de ton WAMP, on ne peut conclure : c'est peut-être normal.
Au fait, tu mets bien «http://» dans ton url ?