Consulta a los expertos

Estoy creando una web sobre cosas graciosas, que se podran subir fotos, enlaces y power point, todo esto antes es revisado por un moderador para ver el contenido y poder dar de alta la imagen enviada, estoy trabajando con PHP orientado a objeto, entre comillas ya que es mas clases que objeto, bueno tengo un INDEX.PHP,LIB.JS, CONTROLADOR.PHP, DATABASE.PHP, CONEXION.PHP... por ahora solo yo puedo iniciar sesion en modo administrador en una url que no esta vista al publico. ellos me puedes mandar un archivo y llenar un formulario, el cual lo valide que no puedan ingresar comillas simples ni caracteres especiales en php... bueno esto funciona mas o menos asi...! Todo parte en el index, este llama a la funcion principal del lib.php el cual crea un evento que se va al lib.js el cual valida el dato y lo manda al controlador, el controlador toma el dato lo procesa y lo devuelve al lib.php con una decision tomada, el cual lo toma y lo envia directo al database, y este devuelve la query mySql, cada envento del controlador esta validado para que solo se ejecute si la session esta activa, casi todo lo paso por ajax, solo algunas cosas por post, cada una de las variables post o get las paso entre comillas "esto lo lei en una web que es mas seguro" osea las paso asi $_POST['dato'] y no asi $_POST[dato], tambien las validaciones las cree en php y no en js, creo que es mas segura... ahora si me pueden dar a conocer algunas pruebas para realizar y ver si es vulnerable, bueno se que no existe web que no se pueda hackear, pero que no me la hackeen tan facil... quiero ver si puede entrar desde la url o algo asi. o injectarle algo desde el formulario el cual solo acepta numero y letras "Validado en PHP" no sé si me explico bien, e leido de una web que puede compilar el codigo y ver las falencias y todo eso.. !! gracias por el tiempo

vamos por partes:

1- usar AJAX no es muy diferente de usar POST y GET, de hecho para PHP es trasparente, a no ser que revises si la petición fue hecha desde XMLHttpRequest y modifiques la respuesta en función de ello; recuerda que AJAX simplemente te ofrece el beneficio de POST o GET sin recargar la página, solo eso, no aporta seguridad alguna

2- el código del lado del cliente (html, js, css) siempre será visible (no lo puedes evitar), en cambio el del lado del servidor no, porque no puedes obtener el código de PHP ya que lo que se devuelve al cliente es la respuesta HTML, la única forma de obtenerlo es que violen tu clave del FTP

3- no todo acaba allí, si realmente quieres un sitio sólido no solo debes de validar en el servidor, sino aplicar protecciones contra ataques XSS y CSRF

Definitivamente hay que ser un experto para tratar de leer lo que escribes.

¿Es posible que seas capaz de redactar con mas propiedad y orden?

Es que leer así de golpe no es sano, de verdad.