Anche mettendo una validazione lato server, un utente malintenzionato potrebbe benissimo fare una chiamata post sull'action ed inviare i campi del form valorizzati.
La validazione servirebbe solo per i "non malintenzionati".