Chicos, estoy iniciandome con los temas de seguridad. Estoy armando una web y no quiero dejar agujeros tentadores para ataques

En primer lugar lo que hice fue poner un archivo index en cada carpeta, de forma que, si acceden por url, si intentan acceder a una carpeta, derive en el index.

Ademas voy a trabajar con sesiones.

De todas formas tengo muchas dudas, porque por lo pronto realice validaciones en el cliente de los datos de entrada. Mas que nada para avisar de datos faltantes o errores de los usuarios.

Ahora cuando se trata de las validaciones del lado del servidor, aqui vienen mis dudas...

1) es suficiente con validar las entradas con por ejemplo funciones preg_match
2) si pasa la validacion anterior trabahar con un filtro para limpiarlo por código malicioso
3) prevenir XSS con PHP Input Filter

es esto suficiente, en este orden? se me estan escapando cosas importantes?

Les pido luz chicos!!
gracias totales