werdender

Если ваша форма основана на AR-классе, то ее просто нужно от него унаследовать, переопределив, при необходимости, правила валидации и добавив нужную логику. Если нужно провалидировать данные, не связанные с БД (например форма входа), то то форма наследуется от yii\base\Model и правила валидации описываются в ней. Т.е. ответ на ваш вопрос зависит от того, какие данные вы валидируете.

Это общепринятый путь, который описан в документации к yii, но в реальном мире каждый ССЗБ:

Когда создаётся форма, основанная на модели, необходимо определить, что же является моделью. Модель может основываться на классе Active Record, который описывает некоторые данные из базы данных, или же на базовом классе Model (происходит от yii\base\Model), который позволяет использовать произвольный набор элементов формы (например, форма входа).

Как-нибудь так:

ob_start();
$this->widget('application.widgets.BxSlider.BxSlider');
$slider = ob_get_contents();
ob_end_clean();
$replacements['slider'] = $slider;

Можно еще как-нибудь так:

function calc(a, b, operation) {
    if(['+',' -', '*', '/'].indexOf(operation) < 0) {
        throw new Error('invalid operation'); 
    }
    return eval(parseFloat(a) + operation + parseFloat(b));
};
calc(5, 2, '*') //10

(Про eval is devil в курсе)

Тут могут быть проблемы с размером — xml-и бывают достаточно большие, а, например, тот же simpleXML глотает его целиком и может упереться в память. Описать/найти такие классы/функции конечно особого труда не составит (XML2Array и Array2XML есть, например, тут, да и на SO часто мелькали похожие вопросы), но они тоже могут столкнуться с этой проблемой.

Имхо удобнее просто использовать simpleXML, а в случае с большими файлами обходить файл XMLReader-ом, скармливая текущий узел в simpleXML.

Я в общем-то не игродел, но однажды тоже решил попробовать.
Понравилось Crafty (http://craftyjs.com/). На хабре по ней были статейки — пройдитесь поиском. Дока вменяемая, звук и всякое такое легко цепляется.
А на серверсайде вполне можно использовать то, в чем лучше разбираетесь — хоть то же пхп. Выстрелит — пересядете на что нибудь другое, если захотите.

Имхо что-то вроде BNC удобно было бы. Небольшой, с защелкой, прочный. Такие токи легко потянет. По цене — на алиэкспрессе порылся — папа на кабель от $0.15/шт.

Удаленку не рассматривали как вариант? Я с вашими земляками уже несколько лет как сотрудничаю. Вроде все довольны.

Возможность собираться в группы.
Например кто-то веб-программист, но не дизайнер, или нужен extJs.
Фрилансеры могли бы собираться в группы и пилить бюджеты, а заказчик избавляется от необходимости искать спецов и проводить собеседования по отдельности — общается с манагером группы. При этом он может посмотреть историю каждого члена группы и все такое. В общем что-то вроде удаленного коворкинга.

Но, имхо, сначала надо запустить базовый необходимый функционал, а уже потом обвешивать его плюшками. Иначе можно закопаться в фичи и никогда из них не выкопаться.

Если нужна помощь — могу присоединиться по мере сил. В профиле есть скайп.

Как вариант — habrahabr.ru/post/140351/

Посмотрите Custom Grid Filters

Как-то все запутано, но надеюсь я правильно уловил смысл.
Если говорить в контексте KO3, то имхо, ее модуль Auth вполне расширяется в описанную сторону.
Там пользователю назначаются роли. Тогда группе пользователей с ролью login можно назначить определенные права в каждой модели.

А почему не оттолкнуться от пром. модели любого сопровождаемого штабелера? Тогда и с комплектующими проблем не будет. И чертежи, думаю, можно найти.
Или хочется именно что-то уникальное соорудить?

По идее, клиент должен засылать данные юзера на сервер. Но данным клиента доверять нельзя…
Пока приходит в голову только цифровая подпись этих данных и проверка этой подписи на сервере.

Мой вариант (jquery для читабельности):

<li>
     Элемент 1
    <button onclick="return del('element_id_here');">Удалить</button>
</li>

<script>
function del(id) {
        $.post('/ajax/url', {element_id: id, token: 'csrf_token'}, function(response) {
            var json = $.parseJSON(response);
            if(json.success === 'ok') {
               // если все ок
            }
            if(json.success === 'error') {
                    alert(json.message); // если все не ок
            }
        });
        return false;
}
</script>

Я не яваскпритист — понимаю что джедаи все сделали бы сильно круче, но если бы мне в своем бложике приспичило бы — как-нибудь так и сделал бы (хотя над аяксом лучше бы сделать обертку, чтобы руками каждый раз ошибки не обрабатывать и т.д.). Еще наверное бы сделал вместо button ссылку (вид кнопки ей можно стилями придать), в href которой был бы урл на страницу удаления для юзеров без яваскрипта.

Ну и перед POST-ом кнопку надо прятать или дисаблить.

У меня нетбинс виснет гораздо чаще чем раз в пол года). Хорошая программа.

1. Не думаю, что круглосуточная доступность получателя сильно сыграет роль. Таких все равно будет лишь небольшая часть, т.к. подавляющему большинству это просто неудобно, и на освобождении складских площадей скажется скорее всего мало, а переработку придется оплачивать довольно большому числу сотрудников — все таки материальные ценности, подотчет и т.д. Хотя в моей практике были и исключения — если клиент постоянный, и ну очень ему надо — шли навстречу. При значительном обороте груза лучше обеспечить круглосуточную работу самой ТК — ночью принимать груз на склад, а днем выдавать.

По второму вопросу — тут сложно однозначно ответить. Это зависит и от размеров этого города, и от грузопотока. А чтобы говорить в масштабах страны нужно знать законодательную базу, транспортную инфраструктуру и все такое.
Эффекты масштаба влияют, если я правильно понял эту часть вопроса. К крупной компании больше доверия — груз достаточно дорогой (мягко говоря), и кому попало его обычно не доверяют. В моей практике был случай, когда сгорела фура груза. Убытки многомиллионные, с какого-нибудь ИП или ООО-шки, у которой в уставном капитале только стол и стул, клиенты бы просто ничего не получили.

Третий вопрос я, если честно, не совсем понял. Вроде-бы он к деятельности транспортных компаний не особо относится )

Технических методов можно сказать что нет.
По юридической части некомпетентен.

Если вопрос в контексте безопасности, то можно выполняемый код отдавать в браузер с другого домена, не с того, с которого вы его будете смотреть. В ифрейме например.
Или я не понял вопроса?