Как тестировать API input validation?

Все входные данные тестируем на: пустые значения, null, отсутствие обязательных полей, неверный тип (строка вместо числа), слишком длинное значение (MAX_INT, 10000 символов), специальные символы (<>"&;|), SQL injection, XSS payload, Unicode/emoji, отрицательные числа, нулевые значения, граничные значения. Ожидаемый результат: 400 Bad Request с понятным сообщением о конкретной проблеме. Не должно быть: 500, stack trace, SQL ошибки.