Estaba en mi servidor local y pude percatarme de un bug bién raro.
Enciende tu servidor local y haz un nuevo directorio con cualquier nombre que contenga la letra "ñ" y pon dentro un archivo php o html con cualquier contenido.
Si lo intentas visualizar verás que php lanza un error y da el path disclosure:

Nakp me ayudó y pudo verificar que esto también funciona en servidores Linux y con casi cualquier carácter especial como por ejemplo acentos.

Esto puede dificilmente pero posible transformarse en una vulnerabilidad como por ejemplo en el mod My_Uploads de phpnuke donde se crea un nuevo directorio dependiendo del nombre de usuario, claramente esto tiene un filtro de no incluir slashses y puntos pero estos filtros no consideran carácteres especiales haciendo el directorio lo mas fiél posible al nick del usuario pero sin contar que php no está preparado para eso lanzando este tipo de errores y mostrando la ruta total del directorio dando información a un posible atacante.

Ya lo avisé.

Que yo sepa no, busqué info en gogole y no encontré nada relacionado además si alguien mas lo hubiera dicho ya estarían en una versión de php que no tuviera ese bug

Atraves de un script en php no se puede evitar si el directorio ya está hecho pero si puedes evitar crear directorios así, puedes usar la función de wordpress seo_permalink():

http://cl2.php.net/manual/es/function.preg-replace.php

<?php
 
function seo_permalink($value) {
$turkce=array(
"&#351;","&#350;","&#305;","(",
")","'","ü","Ü",
"ö","Ö","ç","Ç",
" ","/","*","?",
"&#351;","&#350;","&#305;","&#287;",
"&#286;","&#304;","ö","Ö",
"Ç","ç","ü","Ü");
$duzgun=array(
"s","S","i","",
"","","u","U",
"o","O","c","C",
"","-","-","",
"s","S","i","g",
"G","I","o","O",
"C","c","u","U");
$value=str_replace($turkce,$duzgun,$value);
$value = preg_replace("@[^A-Za-z0-9\-_]+@i","",$value);
return $value;
}
 
echo seo_permalink('nick o url maligno "xÑoàöd"');
 
?>

Me fijé también que seo no contempla la letra eñe  , de todas formas se filtra al final y no aparecerá en la conversión.

Nota: el geshi del foro no deja ver bién los carácteres especiales asi que si usas el código haz click en citar tema y vee como está posteada la función.

Tambien en mi version [PHP Version 5.2.5 ] da error

Tal vez serán todas las versiones de php?

apache me lo muestra asi al listar el directorio:

Index of /diseño

Icon  Name                    Last modified      Size  Description[DIR] Parent Directory                             -   
[   ] poc.php                 09-jun-2009 20:23    3   


pero el archivo se ve bien
uso xampp
seth@debian:~$ sudo lampp phpstatus
5.2.9


si ponen "error_reporting(0);"  que pasa?