no necesariamente porque cuando uno hace pruebas o quiere robar la información puede desactivar el javascript si lo necesita y si por ejemplo tu no tienes validado nada del lado del servidor entonces cualquiera podría hacer injeccion sql y acceder fácilmente a tu información

no se si has revisado esto en este link mas o menos te explican como evitar que roben contraseñas de tu sistema, muy util la explicacion y los ejemplos

http://net.tutsplus.com/tutorials/ph...search_index=3