Solo para tu información, no consideraría el uso de barras de barras ya que también podría causar XSS.
Déjame explicarte:
barras desplegables vs barras diagonales
stripslashes elimina todas las barras invertidas independientemente del tipo
stripcslashes eliminará todas las barras invertidas excepto los caracteres hexadecimales, por lo que esto significa que puedes realizar un ataque XSS en una función que usa stripcslashes haciendo algo como esto:
\x3c\x73\x63\x72\x69\x70\x74\x3e\x61\x6c\x65\x72\x74\x28\x27\x58\x53\x53\x21\x27\x29\x3b\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e
El cual, cuando se evalúe mediante la función stripcslashes, resultará en: alert ('XSS!');
Esto fue realmente una vulnerabilidad que encontré dentro de un popular plugin de Wordpress (Platinum SEO < = 1.3.7)
Solo asegúrese de investigar sobre las funciones que está utilizando antes de usarlas, ya que podría estar causando más problemas de los que vale la pena.
Esto también se aplica a su uso de addcslashes (), ya que podría forzarlo a evaluar el código donde no lo desea, así:
$>php -r 'echo addcslashes("\x41", "A..z");'
\A
Y aquí hay un ejemplo básico de eso en uso para una cadena XSS mal formada:
> php -r 'echo addcslashes("\x3c\x73\x63\x72\x69\x70\x74\x3e\x61\x6c\x65\x72\x74\x28\x27\x58\x53\x53\x21\x27\x29\x3b\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e", "/");'
<script>alert('XSS!');<\/script>
Como puede ver, eso aún ejecutaría la alerta.
Como mehaase confirmó, no hay forma posible de invocar el código PHP sin usar algo como include (), require (), eval (), system () (Tiene más preocupaciones si está usando system () en entrada de usuario que PHP Ejecución de código arbitrario).