es cierto, hasta que el usuario desactive javascript o un "malintencionado" duplique el formulario y lo envíe sin validación alguna, pudiendo alterar los datos en la base de datos, CSRF, inyecciones XSS o más.

lo único que puede hacer javascript es ahorrarle peticiones HTTP al servidor, para no validar más de la cuenta, pero el no revalidar o reconfirmar en el servidor representa una falla grave de seguridad y es poco profesional.

PD: mi sentido pésame para quien votó por la primera opción.