Tach!

Das Problem ist dann eher, dass Anmeldungen mit solch großen Passwörtern in aller Regel Angriffsversuche darstellen, und man ein generelles Vorgehen bei ebensolchen ausarbeiten sollte.
Wie sieht so was aus? Und was versprechen sich Angreifer von so einer art Angriff?

Pufferüberlauf, was bei PHP nur bei Fehlern in PHP selbst relevant wäre, oder ein DoS-Angriff wären zwei Szenarien.

Gegenmaßnahmen können im einfachsten Fall die schon erwähnte generelle Beschränkung der POST-Länge sein. Ist in PHP schon eingebaut, und auch im Apachen/FCGI kann das beschränkt werden. Der konfigurierte Wert sollte für für 08/15-Anwendungen schon passabel sein. Lediglich für das Hochladen großer Dokumente/Datenmengen (zum Beispiel unskalierte Bilder) muss/sollte man unbedingt ein Auge drauf werfen.

Weiterhin kann man immer noch die individuelle Datengröße prüfen. Dann aber nicht zu knapp bemessen sondern eher überlegen, welche Größenordnung absolut unsinnig ist. Beispielsweise könnte der Gedanke sein: 20 Zeichen für einen Namen sind genug. Dann übersieht man aber Adelstitel, zusammengesetzte Namen und Namen anderer Kulturen, in denen anscheinend die gesamte Familiengeschichte eingearbeitet ist :-) Wie wäre es mit 1000? Da geht Karl-Theodors kompletter Name knapp zehnmal rein, und die Verarbeitung hat damit noch längst keine Performance-Probleme.

dedlfix.