En la superficie, parece que ambas bibliotecas están diseñadas para realizar la misma funcionalidad con capacidades similares. ¿Hay diferencias que debo tener en cuenta al tomar una decisión sobre cuál usar? Si es así, ¿qué son?
no usaría ESAPI-PHP. Es un puerto del marco Java ESAPI, (que ha tenido sus propios problemas, pero los soldados están en más o menos, en su mayoría menos), pero el puerto de PHP ha estado inactivo durante bastante tiempo. No lo confiaría tanto como pudiera tirarlo.
No puedo hablar con autoridad sobre el Proyecto de seguridad de PHP, pero de un vistazo, el Proyecto de seguridad de PHP puede estar en un estado similar (su página de proyecto y su sitio anuncian su próxima participación en AppSecUSA 2013, que sucedió hace más de un año ) pero al menos era un marco PHP nativo diseñado para PHP, por lo que todavía puede usarse. Es potencialmente vale la pena investigar, como mínimo.
Lea otras preguntas en las etiquetas web-application php