Te sugiero que realices las mismas comprobaciones en PHP, ya que JavaScript es solo un paso previo que puede ser de comodidad, a veces, para usuario y servidor, ya que si hay algo incompleto no tiene por qué enviar el formulario.

Sin embargo esto no ofrece ninguna seguridad. El usuario podría saltarse este paso sin dificultad (si tiene javascript desactivado es suficiente). PHP no puede manejarlo el usuario.

Por otra parte no deberías dejar que los datos se ingresaran tal cual, sino añadir un procedimiento intermedio en el que elimine comillas o según qué caracteres para no poder "amañar" el query a tu SQL.