Ya puestos, ¿validar qué?
¿seguridad de los datos? obviamente mientras menos capas pasen mejor. Los datos que se sospeche sean producto de XSS o intento de inyección SQL no deben pasar más que el servidor.
¿validez en el sistema (que cumplan las "reglas de negocio")? eso creo que puede hacerse tanto en el servidor de aplicaciones como en el de base de datos, dependiendo de las características específica del sistema.

No es lo mismo validar que mi formulario de comentarios no esté siendo abusado para meter cosas en la BBDD, que validar que el usuario que lo envía haya ingresado todos los campos, o que los haya ingresado de forma correcta ("el nombre de usuario debe ser menor que x caracteres"). En el primer caso por supuesto los datos no deben llegar a la BBDD, en el segundo y tercero mejor detectarlo lo antes posible para no causar tráfico inútil, pero la validación se puede hacer de igual forma en cualquier capa de la aplicación (al menos mientras hablamos de web)

Creo humildemente que la separación en capas no necesariamente debe ser "html - php - sql", y que la BBDD sí puede ser parte de la capa de negocio, ya que dependiendo de la aplicación esto puede tener alguna ventaja. Después de todo, los datos están en la base, y si siempre se requerirá que se entreguen de cierta forma, ¿no se puede simplemente acceder a través de procedimientos y obtener los datos tal cual se los necesita?


Saludos.