Die Daten werden mittels AJAX an den Server übertragen, Javascript müsste also eh aktiviert sein. Außerdem prüfe ich die Daten serverseitig wieder, es geht mir nur erst mal darum, unnötige Uploads zu vermeiden (deshalb die Javascript-Prüfung).
Die Prüfung ob es tatsächlich PDF-Dateien sind wird aber bestimmt auch serverseitig unzureichend sein, mir fällt da nur die zusätzliche Prüfung des Mime-Types ein.
Habe aber gelesen, hier kann man auch Beliebiges notieren.

Im Endeffekt kommt es immer darauf an, was mit den Dateien am Ende gemacht werden soll. Und bezüglich der Javascriptprüfung sollte das Feedback auch von der Zielgruppe abhängen. Ich würde im Normalfall dazu tendieren, alle in Dateinamen normalerweise nicht zugelassenen Zeichen abzuchecken und den Rest komplett durchzulassen, also etwa so:

/^[1]*.pdf$/i

Und bei Nicht-matchen des Ausdrucks einen Hinweis anzeigen (je nach Zielgruppe) in etwa "Achtung, die Datei scheint keine PDF-Datei zu sein! Trotzdem absenden?" - naja, vielleicht ein bisschen eleganter formuliert. ;)