Det bästa sättet är ju naturligt vis att koda bra kod från början - men eftersom php är gjort som det gjort och folk har en förmåga att vilja knacka ihop saker utan att läsa docs så har vi en sådan osäker webb som vi har nu ..
när det gäller din egen php-kod så:
- SQL Injection, googla fram valfri guide
- XSS (cross-site-scripting): att sanera sina variablar är alltid ett måste, ett enkelt sätt är att använda Ulf Härnhammars KSES-bibliotek,
http://sf.net/projects/kses/
när det gäller kod som andra har skrivit men som finns på dina servers (för du erbjuder ju hosting) så blir blir det lätt att man ligger sömnlös med tanke på de vansinnigt dåliga script som finns där ute. det här är några av de grejjer jag tvingar på mina kunder:
- alla konton (domäner) körs i chjailat i cgi-mode
- alla tmp-kataloger är noexe
- alla php.ini's (en för varje konto eftersom det är chjailat) har disallow på alla farliga funktioner som absolut inte behövs
- facistisk mod_secure setup
- register_globals av
(php ÄR ett helvete eftersom det är så flexibelt och har möjlighet till en massa systemanrop samtidigt som väldigt få som kodar grejjer vet vad de håller på med. det finns scripts och program som analyserar din kod, men jag rekomenderar dem inte eftersom de aldrig kan ersätta en kunnig människa)