Et generelt råd er å behandle all info som blir sendt fra brukeren som et forsøk på å utnytte deg.
Det inkluderer cookies, referer, hidden form fields, form fields, filopplasting o.l.
Kjør aldri ting inn i DB uten å sjekke det.
Aldri kjør variabler du ikkje har laga sjølv gjennom eval();
Aldri stol på at javascript rensker input for deg.