Deste excelente "UTF-8 todo o caminho"pergunta, eu li sobre isso:

Infelizmente, você deve verificar se todas as sequências de caracteres enviadas são válidas em UTF-8 antes de tentar armazená-las ou usá-las em qualquer lugar. O mb_check_encoding () do PHP faz o truque, mas você tem que usá-lo religiosamente. Não há realmente nenhuma maneira de contornar isso,como clientes maliciosos pode enviar dados em qualquer codificação que eles querem, e eu não encontrei um truque para fazer o PHP fazer isso para você de forma confiável.

Agora, ainda estou aprendendo as peculiaridades da codificação e gostaria de saber exatamente o que clientes mal-intencionados podem fazer para abusar da codificação. O que se pode alcançar? Alguém pode dar um exemplo? Vamos dizer que eu salvei a entrada do usuário em um banco de dados MySQL, ou enviei-o por e-mail, como um usuário pode criar danos se eu não usar omb_check_encoding funcionalidade?