Se te olvidó tener en consideración tal vez la última validación en PHP .. Fijate si tu usuario tiene desactivado javascript en su navegador o peor, es malintencionado y ataca directamente tu script PHP inyectando esos datos sin "validación javascript" alguna.

Un saludo,