Grundregel aller Client-Server-Anwendungen: Alle Daten vom Client sind bösartige Angriffe auf den Server, bis das Gegenteil durch eine Validierung der Daten bewiesen ist.