Pues en PHP deberías validar longitud, tipo de dato recibido, caracteres permitidos, etc., precisamente porque Javascript puede desactivarse y, si es el caso, no habrá validación, solo "filtrado".

Si en alguna de tus webs tienes un formulario donde validas sólo con javascript, pásame la URL para que me demuestres su efectividad y finalizamos la discusión.