У меня немного странный вопрос. Почему настройка PHP max_input_vars нужно?
PHP имеет ограничение по памяти. Таким образом, даже если кто-то отправит 10M переменных, запрос будет прекращен из-за нехватки памяти.
Каковы риски установки max_input_vars до 1000000?
Спасибо
Представлен PHP max_input_vars для защиты от DOS-атаки с помощью хеш-коллизий из запросов GET или POST.
http://lukasmartinelli.ch/web/2014/11/17/php-dos-attack-revisited.html
Хорошее объяснение можно найти здесь: https://events.ccc.de/congress/2011/Fahrplan/attachments/2007_28C3_Effective_DoS_on_web_application_platforms.pdf
На этот PDF-файл также есть ссылка в статье выше.