Ahora que entendí como es el bypasseo de la funcion str_replace(), con caracteres < y >. Ahora lo siguiente es incluir el caracter ". Así:

<?php
 
  function replace_sh($strTexto){
    echo str_replace("\"","[No]",str_replace(">","[No]",str_replace("<","[No]",$strTexto)));
  }//End Function
 
?>

Ahora como seria ese bypasseo... Antes era algo así:

Ahora si pongo eso, el resultado seria:

Que podria hacer en ese caso?

si quieres filtrar " ' < > mejor usa htmlspecialchars que hace lo mismo pero en ves de ponerle [no] le pone su valor equivalente en htmlentities.

Perdón un error, no es que una sea mas bonita o mas fea, ambas funciones trabajan de igual forma, juntas muestran los caracteres de cada carácter xD la diferencia es que htmlentities transforma todas las entidades html incluyendo por ejemplo las letras con acentos, mientras htmlspecialchars sólo con por ejemplo < y >
 
Sí quieren ver como funcionan ambas pues http://www.holamundo.cl/index.php?zona=xss-me
 
El diseño está pensado para celulares asi que no le pidan mas xD