Dipende da cosa stai facendo con esso.
Se stai solo convalidando che password1 e password2 sono identiche, allora il lato server o client va bene.
Ma la convalida della password di back-end e la disinfezione sono un requisito.
Mentre la tua convalida JS va bene per le richieste inoltrate manualmente, i cattivi attori non si preoccupano né usano il tuo modulo se non per leggere dove POST attuare i loro attacchi di forza bruta.
l'errore di disinfettare l'input di conferma della password può lasciarti aperto a una serie di problemi come l'iniezione SQL.
Esempio: qualcuno scrive uno script per inviare la reimpostazione della password o il modulo per la creazione dell'account e aggiunge ; DELETE * FROM USERS WHERE 1;
La mancata convalida che causa la perdita della tabella degli utenti.
Per un'introduzione decente sulle varie cose di cui dovresti proteggerti, vedi: link