Hola:
Los campos tipo file solo pueden validarse desde el servidor (al menos con una mínima seguridad)... si pones un campo file y en algún sitio lo rellenan con cualquier cosa en el servidor se obtendrá un código de error y fácilmente y con máxima seguridad se puede volver al formulario origen para volver a introducir datos, pero si se permite la edición de ese campo, se puede modificar para obtener algún fichero importante del navegador del cliente... hoy mismo vi un ejemplo donde se modificaba el file y se permitía subir un fichero de contraseñas... ¡considéralo...!
Los campos de archivo puedes (con dificultad) borrarlos, pero nunca editarlos:
Revisar las imágenes antes de subirlas
Saludos