Безопасность и обработка данных

Привет всем.
Чё то уже довольно долго юзаю всякие функции типа htmlspecialchars(), strip_tags(),mysql_escape_string();
Но вот только щас задумался, а не усердствую ли я с ненужной обработкой данных.
Когда начинал прогить, всегда утыкался в строки, не доверяйте ничему что присылает юзер и поэтому все данные пост и гет запросов обрабатывал.
А надо ли?
Не много у мну опыта, поэтому как ломануть сайт и не знаю собственно, кроме как sql-иньекция. Но так понимаю, чтобы избежать её, достаточно обработать все данные из запросов, которые используются при работе с базой. При SELECT использую только htmlspealchars например, а при INSERT или UPDATE mysql_escape_string().
Этого достаточно?
Ну и ещё хотелось бы услышать чем и в каких случаях необходимо обрабатывать данные?

Действительно.. Спасибо!