Sempre que você armazena seus dados em algum lugar, e se esses dados forem lidos/disponíveis para usuários (insuspeitos), você deve higienizá-los. Portanto, algo que possa mudar a experiência do usuário (não necessariamente apenas o banco de dados) deve ser cuidado. Geralmente, todas as entradas do usuário são consideradas inseguras, mas você verá no próximo parágrafo que algumas coisas ainda podem ser ignoradas, embora eu não recomende de forma alguma.

Coisas que acontecem apenas no cliente são higienizadas apenas para uma melhor UX (experiência do usuário, pense na validação JS do formulário - do ponto de vista da segurança é inútil porque é facilmente evitável, mas ajuda usuários não maliciosos a ter uma melhor interação com o site), mas basicamente, não pode causar nenhum dano porque esses dados (bons ou ruins) são perdidos assim que a sessão é encerrada. Você sempre pode destruir uma página da Web para si mesmo (na sua máquina), mas o problema é quando alguém pode fazer isso por outras pessoas.

Para responder à sua pergunta mais diretamente - nunca se preocupe em exagerar. É sempre melhor prevenir do que remediar, e o custo geralmente não é superior a alguns milissegundos.