Was „on the fly“ ist würde mich noch interessieren.

Okay, zusammengefasst:
Egal wie leicht oder schwer die Manipulation auf der Client-Seite ist, ich muss den Input auf der Serverseite nochmals abfragen und wenn das gut programmiert ist, ist die Anwendung entsprechend sicher. Richtig?