tal como dice @Triby y @caricatos, siempre se debe validar en el servidor, con respecto a la base de datos solo se pueden hacer validaciones muy básicas, pero eso no te protege de:

sql inyection
CSRF
XSS

ni mucho menos javascript puede ayudarte en tales conceptos, búscalos e indaga sobre ello