https://medaka.5ch.net/test/read.cgi/prog/1664514129/993
テスト以前の問題じゃね?
JavaScriptで見えなくしてるだけでサーバサイドでは無制限なんだろ

https://developer.mozilla.org/ja/docs/Learn/Forms/Form_validation
> しかし、クライアント側の検証はセキュリティ対策とは考えられません。アプリは常にサーバー側でもクライアント側と同様に送信されたデータのセキュリティをチェックしてください。なぜならクライアント側の検証は容易に回避することができて、悪意のユーザーは簡単に、サーバーへ不正なデータを送信できます。 何が起こり得るかは ウェブサイトセキュリティを見てください。