まずは最低限気をつけること。

• 画面に出力する文字列は htmlspecialchars($str, ENT_QUOTES) を使う
• SQLに文字列を渡す時は addslashes($str) を使う

これだけでXSSとかSQLインジェクションなど代表的な攻撃はある程度防げる。