Originariamente inviato da aasmdaa
Intendi qualcosa come questo?

http://php.html.it/articoli/leggi/22...in-ajax-e-php/

Ma se javascript è disattivato sul client non funziona...
Se l'utente ha JS disabilitato non può neanche loggarsi

Comunque in linea di massima:
- Fai l'escape delle stringhe che arrivano dal form e devono essere inserite in query
- Se devi stamparle, passale prima con htmlentities()
- Le password che metti in database passale 2 volte tipo sha1(md5($stringa))
- Controlla sempre che le richieste arrivino dal tuo sito per evitare Cross Site Request Forgery
- Se vuoi avere una sicurezza estrema, fai scadere le sessioni dopo 10-20 minuti di inutilizzo.
- Controlla se un accesso di uno stesso utente viene fatto contemporaneamente con 2 ip diversi, in tal caso fai reinserire la password
- Se hai pagine del tipo news.php?id=X che vanno a pescare da un database, controlla SEMPRE la variabile X, se deve essere numerica mettici is_number() ecc...
- Evita include arbitrari tipo: index.php?include=pagina.php

Poi boh chi più ne ha più ne metta