Chaque fois que vous stockez vos données quelque part, et si ces données seront lues/disponibles pour les utilisateurs (sans méfiance), vous devez les désinfecter. Donc, quelque chose qui pourrait éventuellement changer l'expérience utilisateur (pas nécessairement seulement la base de données) doit être pris en charge. Généralement, toutes les entrées de l'utilisateur sont considérées comme dangereuses, mais vous verrez dans le paragraphe suivant que certaines choses peuvent encore être ignorées, bien que je ne le recommande pas du tout.
Les choses qui se passent uniquement sur le client sont nettoyées juste pour une meilleure expérience utilisateur (expérience utilisateur, pensez à la validation JS du formulaire - du point de vue de la sécurité, c'est inutile car c'est facilement évitable, mais cela aide les utilisateurs non malveillants à avoir une meilleure interaction avec le site web) mais fondamentalement, cela ne peut pas faire de mal car ces données (bonnes ou mauvaises) sont perdues dès que la session est fermée. Vous pouvez toujours détruire une page Web pour vous-même (sur votre machine), mais le problème, c'est quand quelqu'un peut le faire pour les autres.
Pour répondre plus directement à votre question, ne vous inquiétez jamais d'en faire trop. Il vaut toujours mieux prévenir que guérir, et le coût ne dépasse généralement pas quelques millisecondes.
