Hace mucho tiempo que he manejado if, else, die, exit etc. para verificar que las variables que envia el usuario estén declaradas, sobre todo cuando se trata de formularios a insertar en una base de datos y ni hablar de formularios con archivos adjuntos, con esto me refiero a que si bien puedes utilziar MAX_FILE_SIZE para protgerte y muchos cosas mas cada que he visto codigos de compañeros e incluso en los aportes veo la falta de protección, ha sido discutido muchas veces algunos ejemplos seria la falta de isset($id),if empty($id), etc. para los querys de articulos, fotos, etc, ahora yo pregunto ¿Cuántos de ustedes usan mysql_real_escape_string(); para proteger dichos querys hacia sus respectivas DBS ?.

Más información en: http://www.php.net/mysql_real_escape_string

Aquí un artículo que habla acerca de como proteger toda petición a tus base de datos.
http://www.buayacorp.com/categorias/php/page/2/

Un abrazo a todos.