Non sto chiedendo di rompere la sicurezza di qualcuno, ma un utente malintenzionato può ignorare questo filtro?
Che cosa dovrei aggiungere per proteggerlo di più o è sufficiente?
var target = window.location.hash.replace(/[^\w-_]/g, '');
$('#sel-' + target).addClass('pressed');