時間があったので久しぶりに@ITの記事なんかをしらみつぶしに読んでると、こんな記事を発見。

その文字列はセーフ？ 本当は奥深いデコード処理 − ＠IT

例えば、Webアプリケーション内で利用されている関数に、バイナリセーフの関数と非バイナリセーフの関数が混在している際に「abcd%00efg」という文字列が渡されたとすると、以下のような挙動となってしまうことが想定される。ここでは、例として、「入力チェック」と「処理の実行」を対にして説明を行うが、この限りではない。

まずFormに入力された内容を何かしら送信する場合はエンコード処理がされるのであまり関係が無いんだと思う。
問題はURLにクエリもしくはパラメータがくっついてきた場合ですかね。

Javaで試してみました。
String型の項目に「%00」をはめてみましたが、NULL値になりました。
ダンプしてみるときちんと文字コード00が入ってるので、問題が起きることはあるかもしれませんね。
制御コードは文字列から省くようにしないといけないのかなぁ？