<?php
$a=$_GET['a'];
eval('print ($a);');
?>

Фильтрации никакой нет.
Задача выполнить функцию или вывести значение переменной

защищен.
так нет
eval("print ($a);");
так да
eval("print (\$a);");
так нет
eval('print ('.$a.');');

Я именно свой пример хотел пообсуждать, с одинарными кавычками.
Другие мнения кроме "защищен" будут?

Про последнее - не может оно работать. Выполняется код без подстановки значения переменной в исполняемую строку, ничего не заэкранируешь.

В продолжении темы:
preg_replace("/(.*)/e","<p/>\\1",$a);

вот хоть тесни, ошибка синтаксиса на первом байте (<)

может кто проверял на разных версиях php?

XSS - есть полюбому

?a=<script>evil code</script> =)

надо выполнение кода ес-но ;)))