To jsou mi novinky. Já měl za to, že robustně navržený software má neplatný vstup rozpoznat. Podobně by mohli třeba vývojáři Drupalu argumentovat, že i POST požadavek má určitou specifikaci a když mi někdo podstrčí nějaký vhodně upravený, je naprosto OK, že tím získá třeba dump celé databáze.