Tach!

Wer alles prüft, was kommt, kann auch leicht feststellen, dass Unerwünschtes dabei ist. Dann kann er entscheiden, ob er den Request verwirft, "sanitized" und bearbeitet, oder den Requestor in die Irre schickt mit einer ebenfalls gefakten Antwort (*das mach am meisten Spaß*).
Das macht man aber möglichst früh: in einer Firewall, in der Webserver-Software oder in einen frühen Level der Programmiersprache.

Woher will denn die Firewall etc. wissen, welche Werte für meine Anwendung unerwünscht sind? Was du prüfen willst, sind Dinge, die generell für den Server, den Webserver oder Webanwendungen unerwünscht sind, wie fehlerhafte Datenpakete, Angriffe auf Netzwerkebene oder Zugriffe von unerwünschten Stellen (weil die zum Bespiel sowieso nur spammen oder das System überlasten wollen).

dedlfix.