Muchas gracias, como comente, ya me conozco los manuales tipicos, programo hace muchos años. El tema trata de aprender mas, no usar scripts prehechos, que suelen tener publicados sus bugs ademas de ser bastante poco profesionales muchos de los que me he descargado de hotscripts.

Haré un cutepaste de mi post en es.comp.hackers que es mas completo que lo anterior:

¿Alguien sabe como podria mejorar la seguridad de una web? en la parte de
programacion, todo lo que leo es lo de siempre, y no veo ni si quiera ideas
que tengo sobre, por ejemplo, como mejorar las sesiones php ya que son
vulnerables a un simple cute&paste. Basicamente lo que haré será no dejar
nada con entrada arbitraria por parte del usuario.

Estoy informandome sobre certificados ssl para garantizar el bloqueo de
espias y troyanos. He visto alguno que no tiene un precio abusivo, pero
tambien he leido que IE7 dictamina que no son fiables a ciertos servicios,
(como el que hay gratuito) asi que no se si saltaria con esa empresa...

¿Que seria lo mejor? ¿Contratar a algun tipo de empresa para que me revisen
la web y el servidor? ¿Como diferenciarlas de empresuchas? Porque hay miles
de patanes por ahi... No tengo pelas para pagarle una millonada porque hagan el chufla... prefiero ser yo el que aprenda mas

No quiero tener que hacer las cosas 40 veces y mucho menos que exista algun fallo brutal y quede en evidencia...

He visto algun scanner de vulnerabilidades web pero en cuanto pones una
pagina de error personalizada se va al carajo el scanner...

¿Algo barato (gratis) y eficaz?

Supongo que la mejor manera de protegerse es poner lo menos posible y no
tener nada que le interese a nadie, asi que estaba pensando en eliminar el
correo electronico o como encriptar las direcciones para que aun teniendo la
base de datos no les sea facil sacarlas, aun asi el correo electronico me
parece tan mala opcion de comunicacion que prefiero no enviar ni un correo,
total para que no llegue...

Asi que no tengo muy claro como voy a hacer el tema de atencion al cliente,
ya que por voz no puede ser todo (seria repetir lo mismo 50mil veces) y por
correo no es fiable pero si pongo algun sistema de estos de faq con "foro"
ya tendrian posibilidad de joderme en el buscador o con algun fallo de la
propia aplicacion....

¿Sugerencias?