Мессенджер в данной ситуации не дырявый. Комментарии - это полностью отдельная внешняя система, что-то сродни VK Mini Apps или мини-приложения в Телеграме, если такие аналогии применимы, и ничего общего оно с самим мессенджером не имеет. Все данные (скорее всего, для идентификации разработчик ограничился лишь userId, все остальное тянет через API Max) лежат в базе у разработчика, а вот что туда кладется - как раз таки и не валидируется.
Мессенджер в данной ситуации не дырявый. Комментарии - это полностью отдельная внешняя система, что-то сродни VK Mini Apps или мини-приложения в Телеграме, если такие аналогии применимы, и ничего общего оно с самим мессенджером не имеет. Все данные (скорее всего, для идентификации разработчик ограничился лишь userId, все остальное тянет через API Max) лежат в базе у разработчика, а вот что туда кладется - как раз таки и не валидируется.