la validación aparte de hacerla en el cliente es muy conveniente hacerla también en el servidor. una vez dicho esto, mas que no permitir x caracteres, se trata de usar expresiones regulares para validar los caracteres que se permiten
Cita: en los controles nombre y apellido ------> caracteres alfabéticos [a-z\xc0-\xff]
en email ------> alfanuméricos, (@, ., _, ....)
http://www.forosdelweb.com/2470633-post271.html
en contraseña ------> alfanuméricos y talvez (_) ----> [\da-z\xc0-\xff_]