Tecnicas de seguridad con PHP y bases de datos

¿Qué técnicas de seguridad se pueden llevar a cabo con PHP para evitar inyecciones SQL y demás ataques?

No hablo solamente de MySQL, sino de cualquier otra base de datos.

He oido hablar del uso de ORMs, como Doctrine. O de la PDO.
¿ambos protegen la aplicación contra inyecciones SQL?

¿Qué técnicas me recomendaríais?

Un saludo y gracias.

PDO si se utiliza adecuadamente te permite evitar SQL Inyection, por su parte Doctrine usa PDO además de que provee una capa extra DBAL que cumple ése y otros objetivos.

No todos los ORM's aplican PDO, pero uno de sus fuertes es precisamente evitar el SQL Inyection.

con respecto a otros ataques:

CSRF: los ORM's nada tienen que ver aquí, la mayoría de los FW MVC ya implementan solución a ello
XSS: igualmente depende del FW MVC. aunque existen técnicas simples para evitarlo, como usar html_specials_chars y demás funciones
RFI: se controla verificando el origen, puede que un simple file_exists
Upload Inyection: igual que RFI, verificando el archivo subido

De modo que de no usar un Framework, usando un ORM o PDO quedó cubierto con el aspecto de ataques SQL, ¿no?

Gracias.
Ando con mis primeros pasos con Doctrine, veamos a ver que tal se porta :)

Un saludo!

en parte sí, y como te indique si lo usas de forma adecuada, porque muchos incurren en utilizar SQL puro en algunos casos que el ORM no pueda cubrir, y si no tienes en cuenta el SQL Inyection estás igual de vulnerable, pero claro usar PDO cubre al menos el 99%

te recomiendo que inicies con Doctrine2, recuerda que requiere PHP 5.3

otro punto es no se te ocurra usar las magic quotes, están obsoletas y dan más problemas de los que resuelven.