Так же смотри не происходить ли автоматическое преобразование символов.
Не забываем про фокус замены символа пробела на
Надежней пропускать только то что разрешено, чем блокировать "черные списки".
По возможности использовать HttpOnly-cookies. Параноикам поможет шифрование cookie.
При нападение с помощью TRACE метода претензии к хостеру.