http://www.php.net/manual/tr/function.filter-input.php
direkt super globals($_GET _POST vs) erişim yapmayın.
şu yukardaki builtin fonksiyonu kullanın. $_ ile kod yazanı gördüğümde sinirlerim depreşiyor.
ORM yada PDO kullanmak çözüm değildir. Hazırcılar hızlıca kodda sql kullanıp veri çektirebiliyor. Parametreli sorgu kullanın her zaman.
Çerezleri şifreleyin, güçlü frameworklere odaklanın(laravel, zend, symfony gibi)
XSS işlemlerini yapabiliyorsanız web sunucusuna yaptırın(apache2 yada nginx e)
Çok aşırı paranoyak olmayın. Daha fazla güvenlik açığı üretirsiniz. Sadece neyin nereden geleceğini ve kim nasıl çalışır onu öğrenin. Güvenlik forumlarını, makalelerini okuyun.
Şu bu kodla korumuş bende koruyayım demeyin.