la idea es validar en el receptor, porque si validas en el emisor y no en el receptor corres el riesgo de que te envíen la misma data sin validar y por ende tratar de inyectar un sql.

yo trato de validar en ambos casos, pero doy prioridad a validar en el receptor (que seria php) y en el emisor (básicamente javascript) lo hago para mejorar la interfaz.

si usas url amigables no hace falta que la url del link sea así, puedes hacerla tal como diseñaste la url amigable:

<a href="noticia/<?= $nota['id']; ?>/"><?=$titulo_noticia?></a>//me imagino que es así