sí creo también que lo ideal sería, utilizar ambos para validar, javascript y php. porque javascript, excepto los usuarios que saben como desactivarla, la mayoría de los usuarios no saben cómo, y es beneficioso tanto para el navegante como para uno: al chequear del lado del cliente, se evita procesamiento del lado del servidor, y el navegante no tiene que esperar lo que se demora y la recarga de la página. Y validar del lado del servidor, que hoy en día es mucho mejor hacerlo con las expresiones regulares, éstas llevan tiempo, porque trabajan con comparación y búsqueda de texto, etc...

de todas maneras js no puede reemplazar a php o lo que se use en el server. Javascript solamente es un refuerzo de seguridad por un lado, y una mejora de interfaz para el cliente, solamente. Para evitar ataques, los que pueden hacer ataques saben como librarse de js fácilmente, por eso hay que chequear sí o sí del lado del servidor... lo único que, hacer los dos chequeos, se puede reutilizar algo de código, pero siempre es mucho más trabajo... en fin

ah también hay algo muy bueno que se puede utilizar en los formularios HTML. A todos los campos de texto (creo que a excepción de las <textarea>), se les puede poner un atributo de máximo de tantos caracteres, maxlength:

<input type="text" name="nombre" maxlength="8">

En este campo no se pueden escribir más de 8 caracteres, el navegador no lo permitirá. Creo que es buenísimo porque hasta ahora no sé de ninguna forma en que nadie pueda evitar este límite, ya que lo establece el navegador y es imposible agregar caracteres demás...

saludos