Yo utilizo uno de Ipsca, que son 70€ cada 2 años (más IVA) que me parece una risión, yo creo que el cliente o tu empresa (depende de quien sea el servidor) no debería poner pegas a un asunto como ese, como digo es imprescindible.

Como dices el validateRequest evita que te metan codigo html, de todas maneras yo compruebo todo lo que envia el servidor, es decir, si tengo una consulta:

"select * from tabla where nomre like '%" & nombre.text &"' "
para evitar que me inyecten sql, es decir, que p.ej. me hagan un insert, poniendo en el text:

juan'; Insert into tabla (.....) ';
hago replace de todos los text de la ' por \', los que deben ser númericos si no lo son manda error, y así.