De mest vanlige sikkerhetshullene er vel RFI, XSS og SQL injection.
Filopplastning:
- Selvfølgelig må du nekte filer du ikke vil ha (f.eks .php).
Passord
- Salting av passordene gir dem et snev høyere sikkerhet mot cracking. Det er ikke umulig å cracke saltede passord, men vanskeligere enn at de fleste gir opp etter et par forsøk. Hash gjerne passordene flere ganger i tillegg.
Stoppe bruteforce mot nettsiden kan du gjøre med cookies, sessions og gjerne også IP-blokk etter X antall forsøk.
I tillegg bør du selvfølgelig ikke tillate at brukeren kan benytte PHP eller javascript i f.eks profilen sin eller gjestebøker. Det lureste er vel å kun tillate enkelte HTML-tagger.
Som vidarlo sier, ikke kjør ting inn i db før du sjekker det. Du er sikkert klar over det, men mysql_real_escape_string() er meget kjekk.