Ogni volta che memorizzi i tuoi dati da qualche parte, e se quei dati saranno letti/disponibili agli utenti (ignari), devi disinfettarli. Quindi è necessario occuparsi di qualcosa che potrebbe cambiare l'esperienza dell'utente (non necessariamente solo il database). In genere, tutto l'input dell'utente è considerato non sicuro, ma nel prossimo paragrafo vedrai che alcune cose potrebbero essere ancora ignorate, anche se non lo consiglio affatto.
Le cose che accadono solo sul client vengono sanificate solo per una migliore UX (esperienza utente, pensa alla convalida JS del modulo - dal punto di vista della sicurezza è inutile perché è facilmente evitabile, ma aiuta gli utenti non dannosi ad avere una migliore interazione con il sito web) ma in pratica non può fare alcun male perché quei dati (buoni o cattivi) vengono persi non appena la sessione viene chiusa. Puoi sempre distruggere una pagina web per te stesso (sulla tua macchina), ma il problema è quando qualcuno può farlo per gli altri.
Per rispondere alla tua domanda in modo più diretto, non preoccuparti di esagerare. È sempre meglio prevenire che curare e il costo di solito non supera un paio di millisecondi.