ワラタｗｗｗｗｗｗｗｗｗｗｗ

これがXSSにつながるって言うのは
要するに、「3バイト食いますよ〜」っていうフラグを立てておきながら（つまり1100000のバイトを送る）、2バイトしか送らなかった場合、次の文字も巻き込んでしまうんじゃないかってことかな？これって、EUC-JPやSJISであったのと同じ問題で。それがUTF-8でも起きるっていう。
そうすると、HTMLの閉じタグとかクォートを食っちゃえばXSSが簡単に成立するてことで。

しかし、これを「このよう事は簡単に理解できると思っていたので、」と言っちゃうohgakiさんには 
　　　　　r　‐､ 
　　　　　| ○ | 　　　　　　　　r‐‐､ 
　　　　_,;ﾄ - ｲ、　　　　　　∧l☆│∧ 　セキュリティ エバンジェリストの諸君！ 
　　 （⌒`　　　 ⌒・　 　　¨,､,,ﾄ.-ｲ/,､ l 　われわれPHPerにとって大切なのは 
　　　|ヽ　 ~~⌒γ⌒）　r'⌒　｀!´ `⌒） 　すぐ使えるサンプルか、コピペで動くコードだけだ。 
　　│　ヽー―'^ー-'　（ ⌒γ⌒~~　/| 　PHPerを買いかぶらないでもらいたい 
　　│　　〉　　　 |│　　|｀ー^ｰ― r'　| 
　　│　/───|　|　　|/　| 　l　　ﾄ､ | 
　　|　 irｰ-､ ｰ　,}　|　　　 / 　　　　i 
　　| /　　　｀X´　ヽ 　　 / 　 入 

と、言いたい。

UTF-8の冗長なエンコードとは何で、なんでそれがセキュリティ的に危ないのか？を文字コード知識レヴェル3くらいの凡プログラマが考えてみる - tohokuaikiのチラシの裏