Vorrei non usare ESAPI-PHP. È una porta del framework ESAPI Java, (che ha avuto i suoi problemi, ma i soldati, più o meno, per lo più meno), ma la porta PHP è morta ormai da parecchio tempo. Non mi fiderei di quanto ho potuto lanciarlo.
Non posso parlare con autorevolezza del progetto di sicurezza PHP, ma a prima vista il Progetto di sicurezza PHP potrebbe trovarsi in uno stato simile (la loro pagina di progetto e il sito annunciano la loro imminente partecipazione ad AppSecUSA 2013, avvenuta più di un anno fa ) ma almeno era un framework nativo per PHP progettato per PHP, quindi potrebbe esserci ancora un uso. Vale potenzialmente la pena cercare, almeno.