Вы же не будете делать eval(...) переданного значения, значит код исполнен не будет.
Максимум что вам грозит, если вместо
http://partner-site.ru/style.css
вам передадут
http://partner-site.ru/style.css"> <script>alert(1);</script> <"
Проведите проверку $external_css на спец. символы (можно просто вырезать все кавычки и угловые скобки).