se me ocurre otra:
Controlar qué se permite y qué no en los campos, no permitir (por ejemplo) caracteres no imprimibles en los campos de texto en general, y permitir sólamente en los textarea los caracteres \n y/o \r

No relacionada sólo con php, sino con web en general: siempre poner un index.html en todas las carpetas, aunque lo único que haga sea redirigir (siempre de forma transparente y automática) a otra página del sitio.

Redirigir siempre todas las páginas que procesen formularios, para evitar que el formulario se envíe de nuevo al actualizar.

No permitir que se muestren mensajes de error que den datos de más sobre el servidor.

y seguramente muchos otros de los que no tengo ni idea.


Saludos.