en términos y estándares de seguridad web, es indiscutible la validación por el servidor, aunque esto implique sacrificar el rendimiento, la idea de un servidor es centralizar lo procesos para otorgar un servicio seguro, trasparente y confiable al cliente.

si bien es cierto que puedes realizar ciertas validaciones en la base de datos, ¿la misma no corre en un servidor?, caemos en el mismo principio: validaciones en el servidor, muchos sistemas echos en php, asp u algún otro script del lado del servidor realizan sus validaciones para ser lo más independientes de la base de datos (model MVC) y con ello poder elegir a voluntad el SDBMS que satisfaga sus necesidades, el objetivo de los PL es abstraer lógica de negocio, pero no es la única vía.

javascript fue desarrollado para alimentar la interfaz del usuario, obviamente validar desde él garantiza al servidor ahorrarse la tarea de validar, pero siempre queda el problema de seguridad en el cual el servidor no puede confiar a ciegas del cliente, porque es muy simple desactivar js y enviar los datos sin validar, o en casos de que el usuario sea víctima de Phishing, ¿si en mi servidor no valido CSRF ni filtro XSS, como hago?: javascript no puede ayudarme aquí, ni menos la DB, quedando php.

@Ojete: yo siempre soy participe de que uno debe crearse su propio criterio, corregirse es de sabios, así como también seguir la corriente, en mi experiencia como programador he notado que siempre se debe validar en el servidor, y no soy el único que permanece en este barco