Stavo programmando un form di login che invia i dati, attraverso un file php, a un database.

Dovendo far rispettare dei criteri su come è formata la password (es: almeno un numero e una lettera) mi veniva un grande dubbio:

visto che i controlli si possono fare sia lato front-end con javascript (quindi prima di chiamare un php) sia lato back end con php (richiamando ogni volta il php se si sbaglia a scrivere la password), mi domandavo se facendo fare i controlli con javascript (quindi front-end) un utente potrebbe bypassarli, inviando direttamente i dati al file php che va a memorizzare la password nel db, utilizzando un proprio file di login.

E' possibile? Se lo fosse, vuol dire che non conviene MAI fare controlli di questo genere in front-end ma SOLO in backend?

Sapete dare una spiegazione?