Telkens wanneer u uw gegevens ergens opslaat en als die gegevens kunnen worden gelezen/beschikbaar voor (nietsvermoedende) gebruikers, moet u deze opschonen. Dus iets dat mogelijk de gebruikerservaring zou kunnen veranderen (niet noodzakelijk alleen de database) moet worden geregeld. Over het algemeen wordt alle gebruikersinvoer als onveilig beschouwd, maar u zult in de volgende paragraaf zien dat sommige dingen nog steeds kunnen worden genegeerd, hoewel ik het helemaal niet aanraad.
Dingen die alleen op de client gebeuren, worden alleen gezuiverd voor een betere UX (gebruikerservaring, denk aan JS-validatie van het formulier - vanuit het oogpunt van beveiliging is het nutteloos omdat het gemakkelijk te vermijden is, maar het helpt niet-kwaadaardige gebruikers om een betere interactie te hebben met de website) maar in principe kan het geen kwaad omdat die gegevens (goed of slecht) verloren gaan zodra de sessie wordt afgesloten. Je kunt een webpagina altijd voor jezelf (op je computer) vernietigen, maar het probleem is wanneer iemand het voor anderen kan doen.
Om je vraag directer te beantwoorden:maak je nooit zorgen dat je het overdrijft. Het is altijd beter om veilig te zijn dan sorry, en de kosten zijn meestal niet meer dan een paar milliseconden.