Filtra las variables que obtienes con php tambien, por que si un usuario envia variables no validas directamente, al no filtrarlas el sistema sera vulnerable, por que javascript lo puedes modificar con pocos conocimientos desde el navegador.

Yo te recomiendo que siempre filtres resultados desde php, hacerlo desde javascript es mas que nada para no enviar tantas solicitudes, pero nunca tienes que confiar en lo que un usuario introduzca.
Un saludo