En este caso, el PHP y el Js no serían "competencia" sino un complemento, me explico:

Si sólo se hace con Js, sería muy fácil saltar esa validación, es solo desactivar el Js del navegador.

Si se hace sólo con PHP, habría que enviar el formulario y devolver una respuesta al usuario diciéndole "no pasaste la validación".

Conclusión: El Js se puede usar para advertir al usuario que está haciéndolo de forma incorrecta.

El PHP es la verdadera validación de seguridad, la que impedirá que te llenen con datos que no deseas, o del tipo que no deseas.

Ahora, mejor la cosa si usas la validación en PHP y revisas los datos que se introducen en el form en tiempo real validando con Ajax. Eso sería funcional, seguro y genial.

Saludos.