Wer alles prüft, was kommt, kann auch leicht feststellen, dass Unerwünschtes dabei ist. Dann kann er entscheiden, ob er den Request verwirft, "sanitized" und bearbeitet, oder den Requestor in die Irre schickt mit einer ebenfalls gefakten Antwort (*das mach am meisten Spaß*).

Das macht man aber möglichst früh: in einer Firewall, in der Webserver-Software oder in einen frühen Level der Programmiersprache.

Für sowas gibts genug fertige Lösungen - für PHP z.B. Suhosin.