A bypassare JS non ci vuole nulla, basta disabilitarlo dal browser. JS serve solo a rendere la navigazione più comoda agli utenti onesti, sulla sicurezza non ha alcuna influenza.

Tutti i controlli vanno ripetuti lato server in PHP.