Нужно решить что для вас важней.
Безопасность, или производительность.
Я лично за безопасность. НО! Самый оптимальный способ, это проводить вычисления на стороне клиента, и проверять входящие данные на сервере.
Например. Мы знаем, что пользователь не может заработать/выиграть за определённое время определённую сумму. При вхождении на сервер данных проверять это соотношение. если оно ложное (пользователь подменил данные) тогда не записывать ничего в базу. А пользователю предупреждение.
Так и с остальными параметрами…
