E' sufficiente, se per sufficiente intendi solo la sicurezza che tutti i caratteri vengano inseriti nel DB. A livello di sicurezza del software invece non basta; ti conviene controllare sempre che i dati passati siano realmente nella forma in cui te li aspetti (ammesso che siano dati che vengono passati da moduli compilati dagli utenti, o che comunque arrivino "dall'esterno". Se invece sono dati ottenuti dall'applicazione stessa attraverso calcoli e elaborazioni che non dipendono da fattori esterni, allora hai gia questa sicurezza).

Ad esempio, se un dato deve essere di tipo numerico devi controllare che sia davvero un numero; se una stringa deve poter contenere soltanto alcuni caratteri particolari (esempio: una username che magari può contenere solo lettere e numeri) devi controllare che realmente non contenga nessun altro carattere; se una stringa deve essere formattata in modo particolare (es.: un indirizzo e-mail o una data come GG-MM-AAAA) devi controllare che sia realmente così, ecc. ecc. ecc.