Описание на 5 с +. Если сервис самописный, то явно же, рукожопие кодера не заставило себя ждать
Прежде всего, нужно учитывать уязвимость байпассов и уже потом, сразу же, приходит мысль о том, что нужно не передавать параметры в строках, а использовать заготовленные варианты, либо же, ПРОВЕРЯТЬ то что происходит на клиенте и на сервере! Нельзя доверять клиенту, клиент - зло