Solo filtrar lo que pueda perjudicarte...
Si recibes datos por el cliente y esos datos lo usas para hacer una consulta SQL, debes filtrar los datos. Si recibes datos por el cliente y a esos datos le harás un echo, tienes que filtrarlo. Si filtra todo lo que pasa por GET y POST, tu servidor durara mas para procesar los datos. También tienes que tener en cuenta que porque hagas parcheado alguna vulnerabilidad no significa que el parche sea lo mas seguro...
Cuidado con la Regexp mal hecha que te pueden causar ReDos y puede dar espacio a una vulnerabilidad.
Hay muchas al nivel web xD.
Vulnerability