Algunas cosas que se me ocurren...

- Usar el protocolo HTTPS.
- No arrastrar por GET parametros con informacion delicada o confidencial.
- No guardar en las cookies información delicada o confidencial.
- Usar las funciones para sesiones de PHP. http://es2.php.net/manual/es/book.session.php
- No almacenar claves de usuarios en la bbdd sin encriptar.

Saludos!