Я это ранее хорошо описал в ответе на
этот вопрос. Вкратце, всё что находится на стороне клиента доступно пользователю. Соответственно, пользователь сможет напрямую вмешиваться в работу этой части веб-приложения. А это значит, что недобросовестный пользователь может поломать
валидацию,
запросы и другие вещи. По этому, это нужно размещать на сервере, к которому пользователь не имеет прямого доступа. Соответственно именно
сервер занимается обработкой запроса, валидациями и запросами в БД