hola eduardo, aquí comparto unos códigos para evitar inyeccion sql y ataques xss, todo lo que venga por url en paginas php que no usan frameworks.
Estaría faltando ver el tema de RFI (Remote File Inclusion) y ver si no hace falta corregir algo en los archivos de configuración de apache.
Ojalá algún usuario avanzado (como pateketrueke por ejemplo ) nos de su punto de vista o experiencia al respecto así podemos ir mejorando.

Saludos