Was willst du denn dann erlauben?

Na z.B. brauche ich bei der Abfrage eine PLZ keinen String von 64kb zu akzeptieren.
Alleine schon die Tatsache, dass solche Strings unnötig ressourcen brauchen, begrenze ich die schon. Der Buffer-Overflow war wohl ein schlechtes Beispiel, aber es gibt gute Gründe, Benutzereingaben zu prüfen.

Als ich noch jung war, gabs mal Dinge wie SQL-Injection u.a., keine Ahnung, was da heute noch relevant ist.