Вот всплыл еще вариант использования, вроде отдельная тема, но грабли те же:

Загрязнение параметров в приложениях на PHP

PHP использует parse_str() для синтаксического анализа параметров, таким образом, что символы "[", "." и "_" воспринимаются как одинаковые. По умолчанию PHP будет использовать последний параметр как действительный.

Таким образом, в случаях, когда PHP работает на бэкэнде, но фронтенд (API шлюз или WAF) проверяет параметр, мы можем передать в PHP поддельные параметры.

http://example.com/hpp.php?account_id=real&account[id=fake

==

Принимается скриптом по типу:

[CODE]