Dipende da quali check fai. Per esempio, per rendere sicuri dei dati per una query non e' necessario usare htmlentities, per mandare roba in output al browser pero' si. Se per inserire un commento ti limiti a dare un mysql_real_escape_string(), dovrai filtrarlo anche in output. Fare un controllo in piu', comunque, non fa mai male.