Respuesta: Hackeo javascript si validas sólo con javascript, es simple: envias el post hacia el server y ya!, debes de validar en el servidor, es más lento, pero más seguro.
Lo más importante es validar las inyecciones sql, para ello debes escapar las comillas simples y caracteres como --, # |