?test= にリライト。
index.php の script タグ内に filter_input(INPUT_GET, 'test') を記述し、ブラウザで確認した。
結論
PHP の GET 変数を Javascript の変数に代入する場合、ダブルクオートで囲み、クォートエンコードしても安全とは限らない。
.htaccess
RewriteEngine on
RewriteRule ^([^/]*)/$ ?test=$1 [L]
ダブルクオートなし + エンコードなし
index.php <script>let a=<?=filter_input(INPUT_GET, 'test')?>ダブルクオートなし + クォートエンコードあり
index.php <script>let a=<?=filter_input(INPUT_GET, 'test', FILTER_SANITIZE_FULL_SPECIAL_CHARS)?>ダブルクオートあり + エンコードなし
index.php <script>let a="<?=filter_input(INPUT_GET, 'test')?>ダブルクオートあり + エンコードなし
index.php <script>let a="<?=filter_input(INPUT_GET, 'test')?>ダブルクオートあり + クォートエンコードあり
index.php <script>let a="<?=filter_input(INPUT_GET, 'test', FILTER_SANITIZE_FULL_SPECIAL_CHARS)?>ダブルクオートなし + JSON エンコードあり
index.php <script>let a=<?=json_encode(filter_input(INPUT_GET, 'test'))?>ダブルクオートあり + JSON エンコードあり
index.php <script>let a="<?=json_encode(filter_input(INPUT_GET, 'test'))?>ダブルクオートなし + JSON エンコードあり
index.php <script>let a=<?=json_encode(filter_input(INPUT_GET, 'test'))?>ダブルクオートあり + JSON エンコードあり
index.php <script>let a="<?=json_encode(filter_input(INPUT_GET, 'test'))?>ダブルクオートあり + JSON エンコードあり + クォートエンコードあり
index.php <script>let a="<?=json_encode(filter_input(INPUT_GET, 'test', FILTER_SANITIZE_FULL_SPECIAL_CHARS))?>