Mmmm la règle à suivre est plus générale est plus simple.
Il ne faut faire confiance à aucune donnée venant du client. Ne pas faire confiance ça veut dire ne pas préjuger de leur valeur, toujours vérifier qu'elle rentre bien dans les critères attendus (caster en int quand c'est un entier, faire un htmlentities quand c'est du texte sans code html, nettoyer les balises sensibles (script, object, embed, iframe...) quand on veut quand même du html, etc).
Pour info, les données clients sont tous ce qu'on trouve dans les variables $_GET (url), $_POST (résultat de formulaire), $_FILES (fichiers upl