Buenas,

Es recomendable que tengas register_globals en off. Y una vez la aplicación esté desarrollada y en el entorno de usuario, desactivar display_errors. Puedes registrar los errores en un log fuera del directorio público, o inclso hacer que te lleguen por email. Todo esto mediante php.ini o .htaccess.

No olvides inicializar las variables y definirlas. Asegúrate de que los datos que entran son del tipo que deben ser, y fíltralos mediante expresiones regulares. También puedes limpiar las entradas sustituyendo unos caracteres por otros.

Encontrarás mucha información en internet. Esto que te comento es muy básico :p, pero espero que te sirva como punto de partida. Te lo explican muy bien en http://www.soulblack.com.ar/repo/papers/phpseguro.pdf