Hallo Linuchs,

der Angreifer schickt einen Bytestrom. Mit welcher Zeichencodierung der interpretiert wird, legst Du als Seitenbetreiber fest. Also, nein, der Angreifer kann das nicht.

Es sei denn, er ist schon auf deinem Server und kann PHP umkonfigurieren 😉

Rolf