Últimamente estoy dándole vueltas al tema de la seguridad en php, me da la impresión de que nunca es suficiente segura la aplicación que hago.
Tengo implementado mysql_real_escape_string() para evitar la inyección de código SQL, striptags y htmlentities para evitar que haya XSS o html en formularios y uso sesiones para la gestión de usuarios.
¿Creéis que habría algún aspecto más que debiera mejorar en cuanto a seguridad? sobretodo en subida de archivos, ya he implementado una función que determina el tipo del archivo pero igual las sugerencias serán bienvenidas.
Por ejemplo, phpBB usa un modo extraño de cifrado de contraseñas, ¿hay alguna manera de encriptar la contraseña sin md5 o con alguna cosa que la haga más segura y difícil ante un ataque de fuerza bruta?
Y ya lo último de todo. ¿Cómo puedo hacer que una sesión dure X, es decir, que cuando cierre el navegador la sesión no muera?

Gracias.