まぁ、なんかまつもとさんのところが燃えているわけだが。もう、ある種定例行事な気もしないでもない。
まぁ、みんな書いているけど、まつもとさんが言いたいことのメインは

Web アプリケーションをなめるな

でしょ。Visual Basic 6.0 なんかで変なアプリケーションを作る人がいてもそれが害になるケースってあんまり考えられないけど、Web アプリケーションだといろいろと迷惑かける可能性があったり。
まぁ、あと taint でも htmlspecialchar でもなんでもいいけど、全部安全側に倒しておいて、理解できる人は安全装置解除みたいな設計もあっていいんじゃないかとか。設定 UI ないけど user.js いじれば設定できるよ、みたいなの。