Condivido Friko85, a tuo rischio l'uso di ajax eventualmente che potrebbe essere bypassato in maniera semplice.
Meglio controllo sempre lato server