PHPの文字エンコード自動変換を使って大幅にセキュリティレベルを上げるたった3行のテクニック
.htaccessなら下記のように書きます.
php_value mbstring.http_input UTF-8 php_value mbstring.internal_encoding base64 php_value mbstring.encoding_translation On
今回はmbstring.http_inputにautoを設定することもゆるすYO!!
php.iniなら下記のように書きます(要約ですが).
[mbstring] mbstring.http_input UTF-8 mbstring.internal_encoding base64 mbstring.encoding_translation On
これで各種攻撃から自分のアプリケーションを守ることができます.
ただし理解せずに本気で使うと開発担当の座は守れなくなるかもしれません.