buenas tardes:

para que la comprobación sea efectiva, debe realizarse en local o en servidor ?

gracias.
saludos

P.D. Al hilo de mi pregunta, y como me van a ir surgiendo dudas, una tras otra, hay algun post donde se enumeren y expliquen las recomendaciones para evitar que nos inyecten código, ya sea HTML o SQL.

Para evitarlo con código HTML bastaría con limitar la entrada de los campos a letras y numeros.
No creo positivo limitar la entrada de palabras acentuadas, o guiones (- y _) o la arroba (@) el punto (.) y la coma (,), afectan por tanto estos ultimos a la seguridad?