Meus 2 cents expandidos:

SANITIZACAO DE DADOS

Nao tem relacao direta com a questao de uso do gepeto - mas vamos la:

Lembre-se que toda funcao publica ou que recebe dados de origem nao confiavel (p.ex. uma private interna recebendo uma linha da importacao de arquivo CSV) deve primeiro fazer a SANITIZACAO, o que neste caso significa, verificar para cada parametro/dado se o tipo esta correto, tamanho, livre de caracteres especiais ou coisas do genero - que poderiam levar a um exploit (p.ex. estouro de ponteiro, injecao de SQL e por ai vai).

Como teu codigo que eh exposto via API, isso eh especialmente sensivel.