Es fácil, te cuesta mucho?
Trata de detectar entradas PHP inesperadas (en formularios, páginas que usen $_GET, cookies, etc) además de HTML y SQL también.

Recuerdo que en mis años de aprendiz, lo clásico (ya saben) un libro de visitas hice. Un amigo que me enseñaba en aquel entonces logró accesar a los datos del FTP inyectando código para abrir una webshell, todo porque nunca escapé (eliminé código malicioso de) una variable a la que le hacía include.