Infatti la validazione real-time è fatta con Javascript, o direttamente oppure eseguendo una richiesta AJAX ad uno script PHP che fa la validazione, ma mi sembra inutile. Comunque oltre alla validazione real-time devi eseguire un controllo anche lato server, altrimenti basta disabilitare Javascript per eludere ogni controllo.