mistyko, es una buena costumbre validar los datos en los dos sitios: en el lado del cliente y en el servidor. El lado del servidor es javascript, asi que no funciona en nagegadores con el javascript desactivado (no es lo normal, pero cualquiera puede hacerlo y meterte lo que quiera en el campo). Y luego tambien puede haber malintencionados que creen "a mano" una peticion emulando la de tu formulario pero sin hacer las validaciones javascript.

Por seguridad hay que validar en PHP. Y por comodidad para el usuario (no tener que esperar a cargar otra pagina), hay que validar en javascript.

Saludos.