Написано не мной, но актуально ежедневно
"Первой заповедью веб-программиста, желающего написать более-менее защищенное веб-приложение, должно стать
"Никогда не верь данным, присылаемым тебе пользователем".
Пользователи - это по определению такие злобные хакеры, которые только и ищут момента, как бы напихать в формы ввода всякую дрянь типа PHP, JavaScript, SSI, вызовов своих жутко хакерских скриптов и тому подобных ужасных вещей. Поэтому первое, что необходимо сделать - это жесточайшим образом отфильтровать все данные, присланные пользователем."
Испытано на своем опыте.
(про злобных хакеров)