inyecciones SQL y XSS ataques son a la vez resueltos mediante el análisis de toda la información que está llegando a su código (addslashes, eliminar "" etiquetas, etc.); Magic cita la emulación y register_globals solucionó los problemas desde mi punto de vista. Tenga cuidado, no sé exactamente cuándo, pero magic_quotes estará en desuso así que no cuente con eso.
¿Qué otras amenazas son? Desde mi experiencia, los errores humanos más comunes están relacionados con la autenticación. Esto no significa que el usuario no inicie sesión, pero significa que un usuario puede leer/escribir información para otros usuarios. Entonces, cada vez que vea un enlace de eliminación como este: index.php? Page = images & action = delete & id = 2, intente con otra identificación, de la imagen de otro usuario. Debería obtener un mensaje de error "no su imagen" o algo así. Esto es muy difícil de verificar, por lo que debe contar con la experiencia del desarrollador.
El segundo problema más grande que tuve no estaba relacionado con el código sino con el servidor. Las contraseñas FTP fueron robadas por virus (virus IFrame y otros), o el servidor fue pirateado usando varios métodos de fuerza bruta.
La conclusión es: si está seguro de que revisó las inyecciones SQL y los ataques XSS, lo último que debe hacer es resolver el problema de autenticación (una vez más, la autenticación significa que la información que obtiene/altera es SUYA). La gente tiende a ser un poco paranoica sobre los problemas de seguridad, pero los hacks más comunes no son culpa del desarrollador.
Espero que esto ayude;
Saludos, Gabriel
¿Usted ha intentado googlear alrededor por un tiempo? Hay toneladas de blogs sobre esto. También puede comprar un conjunto de ataques semiautomático para probar sitios web. –