В PHP, нужно ли санировать эти типы входов: радиокнопки, checkbox и <option> ? Или нужно ли дезинформировать только те входные данные, где пользователь может ввести произвольный текст?
Форма, которую вы отправляете клиенту, никоим образом не ограничивает данные, которые они могут отправить назад.
Итак, да, вам нужно обеспечить проверку работоспособности и подходящее экранирование для каждой части входящих данных.
Вы используете PDO ?
Если нет, вам нужно их дезинфицировать. Специально для <option>any value'here</option>
В дополнение к другим ответам, выполнение пользовательских («взломанных») POST / GET всегда (легко) возможно. Вы всегда должны проверять любую изменяемую переменную, которая настраивается