безопасно ли использовать для валидации формы javascript?
Безопасно для чего?
Эта валидация только помогает юзеру правильно ввести данные.
Ведь js код находится в открытом доступе и каждый может его посмотреть.
Да и там где -то находится файл приемник вашей формы
Так же, может ли пользователь каким то образом изменить мой js код?
Нет конечно, но он может направить данные на приемник
Может все же стоит делать валидацию через php?
Если вы пишите данные эти в базу данных или в документ, то конечно надо.
А если просто на мыло кинуть, делайте без фанатизма :)