HPNeo, ahí falta un poquito de control de seguridad (mayormente, contra SQL Injection).

Contra TODOS los datos que nos vienen en la colección request, hay que hacer una limpieza (Sobre todo si, inmediatamente después, se van a usar esos datos para interactuar con la base de datos)