Sicherheitsfragen

Hi ich brauch mal wieder eure Hilfe 🙂

Also ich programmiere gerade an einer web-application und da muss man sich natürlich auch Gedanken um die Sicherheit machen...dabei sind mir ein paar Fragen eingefallen, auf die ich leider noch keine Antwort gefunden habe:

1. Validator-Controls:
   Reichen die Controls für die ganze Input (also außer direkter User-Input nicht Cookies oder QueryStrings) Validation??
   Oder muss ich trotz, dass ich die Controls verwende noch im Code eine ähnliche Überprüfung machen?
   Also das beruht eigentlich auf der Frage, ob die Validation auf dem Client UND Server stattfindet oder ob man sich für eins entscheiden muss.

2. Request Validation:
   Inwieweit muss ich mich noch um Bedrohungen durch Script-Einfügen (also alles von JS bis HTML und was es da noch für schöne Sachen gibt...außer SQL das dürfte wohl mit Parametern gelöst sein) sorgen bzw. selbst kümmern.
   Ich weiß, dass dieser Schutz sicherlich auch irgendwie umgangen werden kann (hab da nen Beispiel auch gefunden), aber ich maße mir auch nicht an, selber Code zu schreiben der besser wäre!
   Und gibt es einen Weg die Exception aufzufangen und zu behandeln (Log und "schönere" Fehlermeldung für den User)?

3. UserManagement:
   Also bisher hab ich einfach auf den zu schützenden Seiten überprüft ob die Session neu erstellt wurde und wenn ja, dass der User dann zur LoginSeite verwiesen wird. Beim Login hab ich dann die Session mit nen paar Daten erstellt.
   Ich glaub, dass ist nicht so das wahre oder?
   Außerdem hab ich mich gefragt, wie man den User zwangsausloggen kann. Also zB soll es die Möglichkeit geben User zu sperren aber wenn der User bereits eingeloggt ist, kann er sich ja noch frei auf der Seite bewegen und erst beim nächsten Login wird er nicht mehr reingelassen!! Aber ich hab nicht wirklich Lust bei jedem Seitenaufruf gegen die DB zu überprüfen ob der Status = Gesperrt ist... also kann man Sessions von einem bestimmten User löschen/manipulieren; also in etwa "lösche alle Sessions von User XY oder mit dem Wert XY für "UserID""...

Wenn ich auf Formsauthentication setzte: inwieweit geht es da mit dem oben beschrieben Zwangs-Ausloggen? Und muss ich trotzdem noch überprüfen ob die Session exisitert oder brauch ich das nicht (angenommen, die TimeOuts stimmen überein)

So hoffe ihr könnt mir da weiterhelfen...

zum 3. Punkt:

woher kommen die User? aus einer Datenbank oder?

einfach in der Page_Load Methode überprüfen ob der User die berechtigung hat die seite zu sehen, wenn ja - ok, wenn nein -> login-page oder zurück schicken oder not-berechtigt-page oder sowad

ebenfalls solltest du in der Page_Load überprüfen ob der User aktiv oder eben gesperrt ist!