mira ahí, en mi opinión es echarle lógica a lo que haces, y te puedo precisar muchísimos puntos, en los cuales al momento de hacer foros y poner mensajes me ha llegado a pasar.

- En primera, habilitar que todos los formularios y los querys, realmente provengan de tu página, y no de otro lado. ($PHP_REFERER)
- Todas tus páginas tienen que estar en extensión PHP. y si tienes alguna en .inc, estarás frito.
- Todos los mensajes, tienen que estar desahabilitados de HTML, (htmlentitles()).
- Ubicar la IP de los usuarios registrados, por si las moscas.
- Facilidades para dar de alta y baja, tanto a mensajes como a usuarios (Administradores obviamente).
- Si habilitas encriptar passwords y todo, te será de excelente utilidad.

Y la principal...

- NO USES COMO PASSWORD, EL NOMBRE DE TU NOVIA. QUE CUALQUIERA TE PUEDE HACKEAR. jejeje.