Non usare lo short open tag, utilizza il tag di apertura completo.
Non usare include relativi, usa path assoluti.
Non accedere all'indice di un array senza averne verificato prima l'esistenza.
Non passare i valori in input ad una query senza averli protetti per eventiali SQL Injection.
Non usare il valore di ritormo di mysql_query() prima di aver verificato che la query sia stata eseguita correttamente.
Non salvare in sessione username/password, salva in sessione l'ID utente ed eventualmente delle informazioni "cosmetiche" (es. il nome dell'utente).

Salva in sessione dati aggiuntivi quali IP ed user agent e filtra eventuali connessioni con valori discrepanti (es. Session Hacking)