es conveniente validar las entradas a nivel del cliente, y es siempre necesario validar las entradas a nivel de servidor. Las salidas se deben sanear en caso de que las validaciones a nivel de servidor no sean muy estrictas. por ejemplo si la entrada es un login y la validacion en el servidor no acepta caracteres especiales no hay necesidad de sanear la salida.

como dato curioso, en rails3 todas las salidas estan saneadas por defecto y se debe especificar si no se quiere sanear.