Da exactamente lo mismo lo que hagas desde javascript. El control hay que hacerlo con lenguaje de servidor. Imaginate que cualquiera puede analizar qué campos se envían a la página que figura como valor del atributo action de tu formulario y recrearlos en otra página diferente, es decir, crear un formulario desde cero y ponerle como action el action que figura en tu formulario. De esa manera, tendríamos un formulario listo para enviarle cualquier valor a la página de proceso, saltándose todas las validaciones que hayas planteado con javascript. Entonces, si el control no está hecho del lado del servidor, cualquiera puede, por ejemplo, inyectar algo como esto o cosas peores: