Не совсем PHP, но тоже может быть интересно. Для вставки в страницы вредительского кода, в частности блоков iframe, используют javascript и данные, закодированные в unicode:
<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065')</script>
Раскодировать можно с помощью PHP:
$str = "\u003c\u0069\u0066\u0072\u0061\u006d\u0065";
$str = preg_replace( "/\\\\u([0-9a-f]{3,4})/i", "&#x\\1;", $str );
$str = html_entity_decode( $str, null, 'UTF-8' );
echo $str . "\n";
Чтобы посмотреть, что же находится в строке, не прибегая к PHP или каким-то инструментам, просто замените document.write на alert.
Когда-то давно я раскодировывал куски javascript-кода помещая его в теги <textarea>, пока в одном коде мне не попался </textarea> в начале зашифрованного кода. Вполне себе рабочие грабельки 🙂