Hola:
Las validaciones javascript se saltan simplemente deshabilitándolo o forzando el submit en la url, por eso siempre es mejor hacer una doble validación (también en el servidor)... y no estaría de más usar alguna estrategia tipo captcha.
Las expresiones regulares en php son bastante parecidas a las de javascript.
Saludos