Olá, Fernando. Tudo bem?
A validação no cliente e no servidor, no caso, é garantir que a entrada que o usuário coloca seja sanitizada, ou seja, que caracteres especiais que tem um significado no SQL sejam escapados.
Você pode, no lado do cliente, passar o dado que o usuário mandou através do formulário para uma função, ou algo do tipo, que transforme os caracteres que tem um significado especial em texto puro. Você consegue fazer isso com expressões regulares e algumas linguagens/frameworks já possuem funções para fazer isso.
No lado do servidor, você pode garantir que o dado que você vai passar para o executor do SQL não seja concatenado em texto puro, usando declarações já preparadas. Em PHP, por exemplo:
// prepara a query
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
// cria as variáveis que serão a fonte dos valores passados para a query
$stmt->bind_param("sss", $firstname, $lastname, $email);
// preenche os valores e executa a query
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
Espero ter ajudado.