Uffff, por dónde empezar...

register_globals OFFFFFFFFFFFFFFFFFFFFFFFFFF
Creo que a estas alturas ya debería ser obvio, pero sigue habiendo gente que hace que sus programas dependan de eso.

Controlar inyección de cabeceras en formularios de correo:
No permitir caracteres \r o \n en campos que deberían ser de 1 sola línea ("asunto", "de", etc).

NO confiar en el usuario:
El programa tiene que considerar cualquier interacción con el "mundo exterior" como peligrosa y no confiable. Creo que esta es la "regla de oro"...


Usar transacciones en las BD
Tenemos que hacer todo lo que esté a nuestro alcance a la hora de mantener la integridad de los datos, las transacciones son una buena forma. Las tablas MyISAM de MySQL no soportan transacciones, pero sí las soportan las tablas InnoDB. Si hay que hacer varias "guardadas", mejor juntarlas en una transacción.

Eso se me ocurre por ahora...