фальсификация кода метеора xss

Меня больше всего беспокоит следующее:

• поскольку метеор основан на JavaScript, его можно изменить/подделать на стороне клиента, так что произойдет, если я изменю или создам новые коллекции и начну спамить базу данных, будет ли это только на стороне клиента (только в памяти )или на обе стороны, т.е. :серверная сторона тоже.

• пользовательский ввод очищается от xss перед сохранением на стороне сервера?.