クライアントサイドはユーザに負担掛けないリアルタイムな入力チェック
サーバサイドはhiddenの値が改ざんされたときの保険
って感じじゃないの
まぁ値をhidden渡しじゃなくてセッションに突っ込めばクライアント側だけでいい気もするけど