Also wenn Du eine clientseitige Validierung durchführst gehen die Regeln dafür so, so oder so online. Es ist ergo egal, ob Du diese in der JSON-Datei oder sonstwo notierst.

Jedoch greift auch die PHP-Validierung auf diese JSON-Datei zu, momentan aber nur, um sich die Formulierungen für die Fehlermeldungen zu schnappen. Meine Sorge war, dass, sollten die Limits ebenfalls in der JSON stehen, diese manipulierbar seien und somit auch die PHP-Validierung. Für die clientseitige Validierung ist mir das egal.

BTW: Dich hindert nichts daran, serverseitig vollständig parametrisierte JS-„Funktionen“ zu generieren, statt die JSON-Datei explizit zu laden, denn PHP kann beliebigen Text, also auch Javascript (sogar Binarys) erzeugen. Du musst halt nur den korrekten Content-Type senden. In den Fall würde ich das Ergebnis serverseitig cachen (anhand des Änderungsdatums der JSON-Datei) und auch gleich gepackt ausliefern.

Das müsste ich mir bei Gelegenheit mal genauer ansehen. Klingt aber interessant.