Y entiendo perfectamente, esa parte, pero mi pregunta era referente a mi script, en el que tomo un valor y hago una consulta, en la base de datos no he tenido problemas.

Mi pregunta es, si en ese script, en el que no hago impresión de ningún valor ni comprometo archivos, se puede crear un archivo con código eval dentro.

Por ejemplo en el caso de imprimir la variable GET con un echo y sin sanitize. Pues podría meter un script incluso he investigado crear archivos a través de la api de html5, hasta ahora no he tenido éxito.

pero eso sólo funcionaría en teoría si se imprime el $_GET, en mi script no lo hace. ¿como podría hacer eso para crear un archivo? Seguiré buscando, en este caso específico. Se me hace algo bastante difícil de lograr, aún con la poca seguridad.

PD: cambié el $_GET por get_query_var() por si las dudas.