Вы хотя бы делаете санитарную обработку SQL? Когда вы ВСТАВЛЯЕТЕ или ОБНОВЛЯЕТЕ данные, используете ли вы какой-то тип DAO, который экранирует SQL, или, если вы используете Java, используете Prepared Statement, где вы устанавливаете аргументы?
Вы должны всегда очищать вещи, прежде чем они попадут в БД. В противном случае люди могут добавить шальные
'); --Malicious procedure here.
.. в запрос.
Существует некоторая угроза безопасности, если оставить незаполненный ввод в текстовом поле; главным образом, если пользователь заражен чем-то, вводящим Javascript, он будет появляться для него каждый раз.
Зачем даже сохранять это? Тогда вы даете своему пользователю совершенно непоследовательное представление о том, что они вводят в то, что отображается? Они не будут совпадать. Лучше всего очистить ввод, чтобы, когда пользователь снова его просматривал, он или она могли ясно видеть , что нарушающий HTML был удален в целях безопасности.