Hola,

Para el tema de la seguridad, un aspecto fundamental que debes tener en cuenta es que todas las funciones que utilices en tu sistema estén bien protegidas. ¿Cómo?, pues comprobando cada parámetro/dato de entrada y salida. Con esto me refiero a que, si una funcion debe recibir 2 números enteros debes comprobar que realmente lo son y que no estas recibiendo una cadena de texto, o un flotante o incluso una cadena de texto que lleve tags de PHP.

La pregunta sería, por ejemplo, ¿cada uno de mis formularios está preparado para que en un textbox me introduzcan algo como?

También, antes de llegar a las funciones que realizan algo realmente, debes comprobar los datos de entrada que recibes en formularios... a esto se le llama "precondiciones".

Para terminar, acciones comunes de seguridad aplicada a cualquier sistema como son contraseñas seguras, control de información pública para evitar ingeniería social, etc.