O PHP introduziu max_input_vars para resolver um ataque do DOS usando colisões de hash de solicitações GET ou POST.
Uma boa explicação pode ser encontrada aqui: link
Este PDF também está vinculado no artigo acima.
Eu tenho uma pergunta um pouco estranha. Por que a configuração do PHP max_input_vars é necessária?
O PHP tem um limite de memória. Então, mesmo que alguém envie variáveis 10M, a solicitação será encerrada devido a falta de memória.
Quais são os riscos de definir max_input_vars para 1.000.000?
Obrigado
Tags php.ini