Запрещать что-либо для ввода в инпуты практически бесполезно, проверки в любом случае должны работать по принципу фильтрации/валидации всех вводимых пользователем данных на сервере. Ввести "запрещенные" данные в инпут или просто отправить их без всякого инпута на сервер вообще не проблема.