Non sono sicuro che direi generalmente non è permesso - ma hai ragione, sono molto limitati.
Generalmente il problema riguarda ovunque il passaggio a testo attraverso un'interfaccia, che si tratti di una query SQL, una riga di comando, un URL, ecc. Di gran lunga il principale colpevole sono le query del database. Il backslash viene usato come carattere di escape, le slash sono usate nelle espressioni regolari, nei percorsi dei file, ecc. MySQL ha persino avuto un bug documentato alcuni anni fa, dove ignorava la barra rovesciata nelle password. link in modo tale che "abc \ def" e "abcdef" siano considerati come la stessa password.
Si tratta di una battaglia di inconvenienti. Puoi risolverlo in diversi punti, ma per lo più stai semplicemente dando il calcio al barattolo per essere affrontato da qualche altra parte - o introducendo più problemi che non ti aspetti - come scoprire che le password degli utenti che contenevano un backslash funzionano sul web ma non sono accettati nella tua app perché lo sviluppatore web e il tuo team mobile non si trovavano nella stessa pagina per quanto riguarda la modalità di escape dei caratteri speciali nelle stringhe di password.
Molti sviluppatori scelgono semplicemente "non si possono usare le slash nella password o nel nome utente".