Je moet hoe dan ook al je invoervalidaties op de server uitvoeren, ook als je ze ook al in de browser uitvoert. Een aanvaller kan de browser namelijk volledig naar zijn hand zetten zodat je niet kan vertrouwen op wat er daar gebeurt. Verder heeft JavaScript in de browser een heel andere rol dan code (JavaScript, PHP of wat anders) op de server. Aan de browserkant is het gericht op de user interface, op mogelijkheden die je met kaal HTML+CSS niet kan implementeren. Op de server is het gericht op de afhandelen van de requests die vanuit een client binnenkomen. Database-query's (ik neem aan dat je daar SQL-statements mee bedoelt) horen helemaal niet thuis in de browser. Los van dat je daarmee een aanvaller heel veel informatie geeft over hoe je back-end in elkaar zit zet je er ook de deur mee open om heel andere queries dan de bedoeling is op je database los te laten. Stel die dingen op de server samen, en gebruik daarvoor geparameteriseerde SQL (prepared statements) en ga niet zelf strings aan elkaar rijgen, ...