Kdykoli svá data někde ukládáte a pokud tato data budou číst/dostupná (nic netušícím) uživatelům, musíte je dezinfikovat. Mělo by se tedy postarat o něco, co by mohlo změnit uživatelskou zkušenost (ne nutně jen databázi). Obecně jsou všechny uživatelské vstupy považovány za nebezpečné, ale v dalším odstavci uvidíte, že některé věci mohou být stále ignorovány, i když to v žádném případě nedoporučuji.
Věci, které se dějí pouze na klientovi, jsou dezinfikovány jen kvůli lepšímu uživatelskému prostředí (uživatelská zkušenost, přemýšlejte o JS validaci formuláře - z hlediska zabezpečení je to k ničemu, protože se tomu lze snadno vyhnout, ale pomáhá to uživatelům, kteří nejsou se zlými úmysly, mít lepší interakci s webové stránky), ale v zásadě to nemůže způsobit žádnou škodu, protože tato data (dobrá nebo špatná) jsou ztracena, jakmile je relace uzavřena. Vždy můžete zničit webovou stránku pro sebe (na svém počítači), ale problém je, když to někdo může udělat za ostatní.
Abychom na vaši otázku odpověděli příměji – nikdy se nebojte, že to přeženete. Vždy je lepší být v bezpečí, než litovat, a cena obvykle není vyšší než několik milisekund.