La primera primordialmente, me parece a mi. Validar (y revalidar) las entradas es primordial para prevenir no sólo sql injections, sino funcionamientos erronéos de la aplicación. Dependiendo del nivel de complejidad pensaría en validar las salidas.

Por ejemplo, vos sabés que en un query determinado sólo se pueden recibir números enteros, mientras que no siempre se llega a ese nivel de precisión en la información que debe ser mostrada.