Treba ti "eskejpovanje" promenljivih sa http://php.net/mysql_real_escape_string i pravilno handle-ovanje promenljivih, provera tipa, provera ispravnosti (npr. da li je u polju "email" zaista napisana email adresa), i tako to...

Takodje valjalo bi da podatke koje su korisnici uneli ne ispisuješ na sajtu u originalnom obliku već ih prvo obradiš sa
htmlentities($text, ENT_QUOTES, 'UTF-8');
Ovim se boriš protiv XSS napada.
Fajlove čuvaš recimo s .htaccess (guglaj) koji postaviš u neki poddirektorijum u kome držiš fajlove koje štitiš.
Uvek inicijalizuj promenljive pre dodavanja ("$a.=" ili "$a[]=").
Tokom razvoja aplikacije uključi error_reporting(E_ALL), a isključi kad je završiš.

Da bi srušio neki sajt morao bi imaš uvid u njegov kod (može i bez ali mnogo teže) da bi mu našao slabost.
Eskejpovanje (kakav prevod) korisničkih unosa bi trebalo da je dovoljno.
Uploadovane datoteke prvo proveri sa is_uploaded_file() funkcijom pre obrade, kao i njen tip da ti neko ne bi poslao PHP kod koji bi posle izvršio kroz browser.

fala ljudi, to mi bas treba.

jedno pitanje za mVelikog:
zasto $a.=" ili "$a[]=" ?

Kad dopisuješ nešto na kraj stringa onda to radiš sa $a=$a.'dodatak' ili skraćeno $a.='dodatak', slično je i sa nizovima ($a[]='dodatak') ili numeričkim vrednostima ($a+=15).
Elem, ako je na serveru uključen register_globals i neko ti prosledi kroz GET promenljivu $a, a ti je nisi inicijalizovao pre obrade (sa $a='';) imaćeš veselu situaciju.

Evo jedne simpaticne funkcije koja mnogo pomaze

Ček, ček, dakle svaki SQL iskaz koji pošaljemo serveru bi trebalo da prođe kroz ovu funkciju? Ili bar onaj SQL koji sadrži unete parametre od strane korisnika?

Svaka promenljiva čija vrednost dolazi od korisnika.