自己解決しました。
本件、PDOでは起きず、mysqliで発生する事象でした。
開発者もなかなか理解して貰えなかったのですがようやく確認済です。
https://github.com/fuel/core/issues/2067そして、更に追加でバグ懸案をみつけました。
Model_Crudを利用したfind_by_pk() でも同様にXSSエスケープが漏れています。
こちらもissueに追記しています。
当方のシステムでは、mysqli::SQL文とModel_Crud::find_by_pk()のみ対象だったのでこちらだけ検証しましたが、
開発者とのやり取りから察するに、他のケースでもエスケープ漏れがある可能性があるように思われます。
ご自身のシステムのチェックをされる事をお勧めします。
2017年8月2日水曜日 19時46分22秒 UTC+9 uratch: