Hola:

Las validaciones javascript se saltan simplemente deshabilitándolo o forzando el submit en la url, por eso siempre es mejor hacer una doble validación (también en el servidor)... y no estaría de más usar alguna estrategia tipo captcha.

Las expresiones regulares en php son bastante parecidas a las de javascript.

Saludos