XHR-запросы с JSON против urlencoded: производительность и безопасность

У меня есть запросы xhr с данными, такими как name=John username=JohnTheGreat. В этом случае я могу отправить xhr с типом контента: application/x-www-form-urlencoded:

'name=John&username=JohnTheGreat'

Или я могу использовать тип контента: application/json:

'{"name"="John","username"="JohnTheGreat"}'

На стороне сервера (я использую сервер nodejs с Express), в обоих случаях я использую body-parser для анализа данных.
1) Какой из двух будет проанализирован быстрее? Я предполагаю, что это будет Json, поскольку он, очевидно, будет включать в себя только конкатенацию строк и eval, в то время как строка в кодировке urlen, похоже, подразумевает множество манипуляций со строками.
2) Какой из этих двух способов более безопасен для использования в этих случаях? И вообще, каковы их проблемы безопасности в современных браузерах, если таковые имеются? (Может ли, например, пользователь написать в качестве своего имени какой-нибудь скрипт, который при разборе будет выполнен?)