글자의 자리수와 해킹은 정확하게 말씀드리면 전혀 상관이 없습니다.
특히나 프론트에서의 JS등을 통한 제한은 전혀 의미가 없습니다.
프론트에서 무슨 방식을 동원하던 직접 해당 API에 값을 때려박아버리면 서버는 받아주거든요.
결론은 백엔드에서 검증후에 DB작업을 진행하셔야하구요.
글자수 제한과는 아주 무관하게 sql injection 등의 문제 혹은 over Flow 등에 백엔드에서의 문제를 말씀하시는것같은데
이는 "글자수 제한" 이라기보다는 사용자가 입력한 값을 "검증" 하는 시스템 자체의 문제입니다.
아래는 sql injection 에 대한 위키 URL 입니다.
한번 읽어보시고 더 궁금하시면 구글 검색하시면 많은 자료 있으니 개발시 참조 바랍니다.
그리고 기본적으로 sql injection 등은 이제 프레임워크에서 거의 막아주니까 너무 걱정안하셔도됩니다.
https://ko.wikipedia.org/wiki/SQL_%EC%82%BD%EC%9E%85