dipende appunto se il controllo lo vuoi fare lato server (più sicuro) o lato client (non sicuro e comunque non può essere l'unico controllo che fai, visto che se disattivo javascript tutto il sistema va a farsi benedire). Se leggi un file lato server per produrre un controllo lato client... bhè, non è che ci hai fatto la furbata della vita