• 变量
  • 安全地处理请求变量
  • 验证变量值
  • 删除请求变量中所有的空白符和潜在烦人的ASCII零
  • 默认地除去javascript并随意地除去所有HTML
  • 根据终端用户的配置来处理引号
  • register_globals = on或off作用于变量的传递
• 日期处理
  • 考虑到用户的地点,使用strftime()作为所有用户面的日期
  • 使用gmstrftime()作为所有系统页的日期
• 模板
  • 表达层只负责装饰处理HTML中的输出，除了显示循环和条件，没有其它逻辑
• 目录命名: 目录的命名应合标准的或让人很容易联想到给定的服务器端的方法,没有必要地泄露执行的细节和阻碍固定的URLS.

应该更多地使用普通的路径.例如,使用/scripts目录而不是/cgi-bin,使用/styles而不是/css,使用/scripts而不是/javascript等等

• 应用程序的安全
  • 一些好的主意:WACT站点
  • 更安全的最优方法:http://www.securereality.com.au/studyinscarlet.txt
• Harry F提供的有益的总结:PHP gotchas