Siempre que almacene sus datos en algún lugar, y si esos datos serán leídos/disponibles para usuarios (desprevenidos), entonces debe desinfectarlos. Por lo tanto, se debe solucionar algo que posiblemente podría cambiar la experiencia del usuario (no necesariamente solo la base de datos). En general, todas las entradas de los usuarios se consideran inseguras, pero verá en el siguiente párrafo que algunas cosas aún pueden ignorarse, aunque no lo recomiendo en absoluto.
Las cosas que suceden en el cliente solo se desinfectan solo para una mejor UX (experiencia de usuario, piense en la validación JS del formulario; desde el punto de vista de la seguridad, es inútil porque se puede evitar fácilmente, pero ayuda a los usuarios no malintencionados a tener una mejor interacción con el sitio web) pero básicamente, no puede hacer ningún daño porque esos datos (buenos o malos) se pierden tan pronto como se cierra la sesión. Siempre puedes destruir una página web por ti mismo (en tu máquina), pero el problema es cuando alguien puede hacerlo por otros.
Para responder a su pregunta de manera más directa, nunca se preocupe por exagerar. Siempre es mejor prevenir que lamentar, y el costo generalmente no supera un par de milisegundos.