"Mióta el sem jut az appig a rendellenes kérés, hanem a kliens rögtön forbiddent kap."
Ha az alkalmazás sebezhető és nem frissített, akkor persze körül lehet ácsolni a hibát; ha nem sebezhető, akkor miért is fáj, ha az alkalmazás nem szolgálja ki a hibás kérést?
"Ez természeseten csak elfedi a hibát, ettől még az appban minden változót rendesen kell kezelni."
Tehát például az "index.php?setlang=999999.9+%2f**%2fuNiOn%2f**%2faLl+%2f**" helyett vagy validálod az alkalmazás helyett, hogy a setlang milyen értékeket vehet fel; vagy a "/setlang/999999.9+%2f**%2fuNiOn%2f**%2faLl+%2f**" ugyanúgy bejut az alkalmazásig és tulajdonképpen semmit nem tettél a biztonság érdekében...
...bónuszban a GET kéréseken kívüli minden egyéb átgyalogol a rendszeren, miközben nyugodtan hátradőlve szemlélődsz, mert a POST tartalmát nem látod egyik logban se, és a rewrite se...
Röviden: ötletszerűen és vaktában értelmetlen védekezni, meg kell nézni, mit futtatsz, annak milyen ismert sebezhetőségei vannak (egy utolsó molyfing weboldalt nem fognak vadonat új ismeretlen sebezhetőséggel támadni!) és vagy frissíteni vagy alkalmazni a sebezhetőségnél leírt workaround-ot. Minden más csak hamis biztonságérzet.