SQL injection, RFI, XSS, entre otros, te dejo un enlace a un pdf completito explicando estos metodos.

Proteger nuestras webs PHP de ataques
http://phpbarcelona.org/files/phpworkshop08/seguridad/Art-HackWeb-v1-4.pdf

Si se trata de un sistema medianamente grande, yo te recomendaria usar algun Framework, CodeIgniter por ejemplo, que funciona en cualquier servidor. Es totalmente seguro, ya que es de los mas populares.

Hay quienes prefieren desarrollar todo ellos mismos, y la verdad que no los entiendo  gustos son gusto, pero siempre es probable que se no escape algo en seguridad web...mientras que si usamos algun framework de calidad como CI nos olvidamos del aspecto de la seguridad y solo te consentras en desarrollar. Su curva de aprendizaje es relativamente baja.


Saludos

Yo uso CI 2.0.2 que ya incorpora preccion contra CSRF (desactivada por defecto):

application/config/config.php

/*
|--------------------------------------------------------------------------
| Global XSS Filtering
|--------------------------------------------------------------------------
|
| Determines whether the XSS filter is always active when GET, POST or
| COOKIE data is encountered
|
*/
$config['global_xss_filtering'] = TRUE;
 
/*
|--------------------------------------------------------------------------
| Cross Site Request Forgery
|--------------------------------------------------------------------------
| Enables a CSRF cookie token to be set. When set to TRUE, token will be
| checked on a submitted form. If you are accepting user data, it is strongly
| recommended CSRF protection be enabled.
| 'csrf_token_name' = The token name
| 'csrf_cookie_name' = The cookie name
| 'csrf_expire' = The number in seconds the token should expire.
*/
$config['csrf_protection'] = TRUE;
$config['csrf_token_name'] = 'csrf_test_name';//Usar un string alpha-num de uno 20 chars
$config['csrf_cookie_name'] = 'csrf_cookie_name';
$config['csrf_expire'] = 7200;
 

Aca se explica como hacerlo 'a mano'

De todas formas acepto que fue muy pretencioso decir que algo es totalmente seguro, my foul. 

Es verdad. La verdad que nunca me vi en la necesidad de pasar por get, ni siquiera usando AJAX.

Nuevamente Reconozco que fue desmedida (y muy incorrecta) mi afirmacion de que el framework es totalmene seguro. Pero a lo que iba es que ya tenemos el 80% del trabajo (por tirar un numero) hecho. Si quisieramos implementar toda la segurida a mano es demasiado laburo. Cada uno elige.

En cuanto a hacerlo a mano acá se explica con lujo de detalle.


Para nada, a lo mejor me estoy perdiendo de algo y toda critica costructiva es util, ademas respeto mucho tu opinion en estos temas.

Saludos