Das sowieso. Deswegen darf man sich auch nie auf das korrekte Verhalten des eigenen JavaScriptes verlassen, sofern es den Server anspricht. Wenn der Client mein GUI-Script kaputt macht und die Seite nicht mehr richtig bedienbar ist: Selber schuld.
Wenn er aber meinen Server mit Mülldaten lahmlegt, dann hab ich irgendwo richtig Scheisse gebaut .

Wichtig ist die Eingabevalidierung auf dem Server. Jede Information, die den Server erreicht, ist potentiell böse.