Tach!
Was ignoriert wird kann keinen Schaden anrichten.
Nun ja... Stellt sich die Frage, ob man nicht auf offensichtliche Angriffsversuche (es kann hier übrigens auch eine DDOS-Attacke vorliegen) reagieren sollte, in dem man die IP des Angreifers eine Weile lang sperrt.
Das habe ich im weiteren Verlauf der Antwort angedeutet, dass man solcherart Maßnahmen ergreifen kann. Aus Sicht der Anwendung jedenfalls schadet ein ignorierter Parameter nicht. Dass der Server ihn nicht ignoriert, sondern ihn zum Client durchzustellen versucht, ist ein Problem des Servers. Wenn ich den Parameter erst innerhalb der Anwendung registriere, wurde bereits auf dem Server sinnlose Arbeit verrichtet.
Ob es Aufgabe der Anwendung ist, bei derartigen Angriffen ins System zu greifen, um eine Fail2ban-Sperre oder dergleichen einzulegen, darf hinterfragt werden. Fail2ban kann das jedenfalls auch selbständig durch entsprechend konfigurierte Logfile-Analyse. Ein Kompromiss wäre, dass die Anwendung ein Audit-Log oder ähnliches führt, das dann vom Fail2ban ausgewertet wird. Damit trennt man die Zuständigkeiten und kann das Wissen der Anwendung über erlaubte und nicht erlaubte Inhalte oder Zugriffe nutzen.
dedlfix.