Bueno, yo no es que te peuda prestar mucha ayuda porque la seguridad es lo que peor llevo en PHP así que ya de paso estaré atento a este post para ver si aprendo yo tambien jeje.

Una cosa sí te quería decir: evitar parámetros get (los tengo casi todos en post o incluso algunos hidden)
Con respecto a los hidden, los campos hidden ahora mismo son más bien a nivel funcional y de estilo (para pasar un campo que no quieres mostrar por que no hace falta pero encesitas) por que a nivel de seguridad ahora mismo son prácticamente nulos.
Haces un Inspeccionar en el form y a cambiar valores!!

Ah y con: sustituir caracteres que puedan interrumpir sentencias sql, Supongo que te refieres a controlar inyecciones sql con las funciones que php nos ofrece, no?

Bueno, a ver si nos ilustra algún experto en seguridad, aunque ya te adelanto que en esto no hay nada 100% seguro, y si alguien quiere molestar, molestará.