表单验证等没有通用性的验证建议放在controller，一些复杂和通用的业务逻辑建议下沉到model层去实现。

写在module是没有问题的，但是这里边涉及一个有意思的问题，就是如何将校验结果反馈回来。

如果在module层做非常详细的错误报告，也是比较繁琐，而且可能会增加一些开销。而反馈的结果还需要反馈到controller，最后反映到view上。另一方面module也可能被程序直接创建修改，这时候的验证并不需要细粒度，只需要一个布尔就够了。

所以一般我比较倾向于用一个简单逻辑的module验证，在controller中做错误报告的生成。

倾向于 view - model - behavior - controller，
数据本身进存储的时候需要验证 MODEL
业务逻辑需要验证 BEHAVIOR
和业务逻辑无关的 CONTROLLER

首先，你们团队的代码是正确的，输入验证是放在model层。model是与数据交互的，按照“与谁关系最密切就与谁处理”的原则，数据验证应该由model层处理，controller只是起到一个转发的作用，与逻辑数据有关的不应该放在这里面。
关于道理和厉害关系：
说实话，这个没啥理论，就是一辈辈的开发者们经验所得。你可以将验证放在controller里面，然后开发一个大型应用试一下就知道了。
跟设计模式差不多，为什么要这样设计？完全就没有道理，完全是无数次实验之后得出的结论。然后这些不好的地方自然就成了好的道理。
以后遇到这种没有定性的问题，你自己实验一下，自然就知道哪里放哪里好了。

正所谓知道了什么不好，才真正的知道什么才是好。人生亦是如此

我们团队用的Java，现在的验证方法是这样的：
比如User， 使用各种JSR303在实体上搞好校验规则和校验message，封装好check方法（这个是最基础的，不管怎么样都需要验证的，一般我们使用的是Hibernate-Validator实现），如果类型和逻辑比较多，还可以衍生出updateCheck(),saveCheck() ，如果校验没有通过就抛出参数错误异常;我在做的过程中其实想到这一点没有必要另外些check方法，完全可以使用JSR303的group分组来实现不同业务的需求验证(这点没有具体实践，只是现在有这么一个想法)
然后在controller那里注解调用对应的check方法作为验证就行了，验证方法如果抛出异常了，直接在catch里面做相应的处理返回.

验证代码应该写在服务层
那么这里就要对mvc解析一下

v层由于变动频繁，而又非服务端程序员必理层，故此完全可以独立出来，以配置方式分发。
m层是数据层，那就单纯处理数据就得了，不要添加其他没必要的处理，导致混乱。
c层是调度层，对用户传递过来的url作对应处理，这里跟权限有关，登陆和没登陆的操作。
那么这里少了一层，就是逻辑层logic。建议添加l层
l层处理逻辑，提供服务，提供关闭和开放的决定。

而验证建议使用c层的权限判断，而权限判断是一个服务，让l层提供。

这样设计的好处不少

v层对外，只提供配置文件，让有关程序员，只配置文件即可。
其次m层可以独立出来一个专用服务器，也可安排专门处理这块的程序员负责。
c层处理用户调度，掌握业务层和用户体验的程序员最适合。
l层实际就是服务层，链接业务层和数据层，版本控制，启用和关闭服务。

对新来的同事，验证服务有问题，可以让他重写一个验证服务，不必重写原来的验证的服务。这种修改方式，应该是养成习惯，不修改，只增加。

对于楼主要解决的验证写在controller还是model里，这个问题，取决于架构问题。
如果就是mvc，那么是否有不同角色权限，如果不是，可以选择新建一个基础c，里面配置一个用户验证。如果有不同角色权限，完全可以继承这个基础c，重写即可。
建议在c层验证，个人认为，用户进来，进入调度范围，就必须要正确到达目的地，否则，我不知道调度的作用为何。
如果没有设计缺陷，就放在c层验证吧，概念更清晰一些。
c层验证，l层逻辑

这个是不是只针对php, java 为什么在struts里有 validate 方法, Bean 里面只有 get set 方法

其实可在Controller和Model之间设置一个业务逻辑层，该层负责处理输入到数据录入的处理，一切业务参数验证及组装都可以交给业务办，这样即可，另外不同层处理不同事物，比如接受参数的HTTP层、路由层，都是可以加东西的，各层分而治之，没必要都给controller了，controller是中介，衔接作用，大而全就显得代码结构不清晰，降低了可维护性。

model变化的频率和验证变化的频率差别太大，就此一点就注定他们不能在一起