Вы имеете в виду, как http://%27%3B%20delete%20table%20users%3B%20commit%3B.example.com?
Я предполагаю, что у вас есть подстановочная DNS-запись, и вы принимаете субдомен как форму ввода. Если так, то да, это пользовательский ввод, и вы должны относиться к нему так же подозрительно, как и ко всему остальному. Даже если никто из нас здесь, на SO, не сможет найти реальный пример для этого вопроса, это не значит, что кто-то гораздо более решительный, кто тратит на него больше времени, не может придумать один.
Есть ли аргумент против экранирования / обработки / проверки имени субдомена?