Во-первых, в терминологии 1С здесь речь не о веб-сервисах, а об HTTP-сервисах. Веб-сервисы - это SOAP. Смиритесь с этим.
Во-вторых, публикуйте на доверенный IP.
В-третьих, всяческих sql-injection и т.п. можно не бояться. Платформа обрабатывает запрос ровно так, как написано в коде.
В-четвертых, внимательно читаем приложение к руководству администратора, описание файла defailt.vrd, и публикуем только то, что нужно.