Hola amigos..
Estoy programando una aplicación .. y debe ser lo mas segura posible..

Recomiendo la lectura de
code.google.com/p/doctype/wiki/EsArticleXSS

Hay varias paginas, con muchas cosas para tener en cuenta al programar en entorno web

Bueno.. tengo un modelo de trabajo que consiste en 3 paginas y muchas otras de proceso:


Acceso.php:
Al cagar esta pagina, se limpia las cookie del sitio.
se procesa el login y el password teniendo en cuenta la limplieza de la cadena de comandos maliciosos y de < > & " '
Si las credenciales son correctas es creada una cookie llamada llave, con un valor almacenado de 64 caracteres y el usuario es enviado mediante header a entorno_usuario.php


entorno_usuario.php
Tiene una rutina al inicio que valida la cookie del usuario llamada llave, en la base de datos donde se almacena la sesion

Si la validación es correcta, la hora de la sesion se actualiza y se muestra el contenido del entorno, en el caso contrario las cookie del sitio son borradas y el usuario es direccionado mediante header a una pagina de error.

Dentro de entorno_usuario.php esta el contenido y los menu de usuario
Estos estan hecho con HTML/CCS respentando los estandares
Cuando el usuario necesita información, por ejemplo: le da click al boton reporte general

Es capturado el evento con javascript y es enviada la petición mediante AJAX aun pagina llamada interprete.php la cual procesa la petición y responde en formato text.
Esa respuesta puede traer etiquetas HTML, pero me aseguro que sea text conl Content-Type


Interprete.php

Recibe la petición de consulta, de la siguiente forma:
$peticion = (int) $_post[‘tipo_peticion’];

Los tipos de petición son validadas con un switch y según sea el caso se procesa la petición con un include en otro archivo el cual imprimira la respuesta con echo

Internamente los archivos que fueron llamados con includes estan condicionados a que la sesion del usuario este activa
Todas las variables que llegan a ellos estan escapadas y limpiadas de etiquetas HTML, php, malas palabras, etc

Y se trata de tipar los datos.. osea si se que un dato debe llegar tipo string .. me aseguro de eso.


Puesto que php trabaja de forma trasparente con SSL, cuando monte la aplicación en el servidor me preocupare por la implementación de la encriptación.

Umm otra cosa, tengo pensado crear diferentes tipos de usuario en la base de datos según el acceso y los privilegios de usuario en la aplicación


Bueno tambien me parece interesante el articulo de maestrodelweb

maestrosdelweb.com
editoria
haz-que-tu-servidor-se-defienda-por-si-mismo-contra-ataques-ddos

ya que utilizo ajax y un usuario mal intensionado puede abusar de mi aplicación.

Bueno comento todo esto por que necesito sugerencias, recomendaciones, etc


como no tengo mucho tiempo en el foro.. y tampoco escribo tanto.. entonc los enlaces a las paginas q recomiendo no pueden ser publicados de forma habitual... espero que logren localizar el contendio