htmlentities(); para evitar que ejecuten código ya sea html, php, js, ect

Captcha en el registro para evitar bots.

md5(md5()); doble cifrado para evitar que roben las pass y si lo hacen que no tengan como descifrarlas.

Siempre pedir contraseña al cambiar algún dato, para borrar post no recomiendo utilizar el get porque con una simple redireccion podes borrar post erróneamente.

Fundamental, Desconfiar siempre de los usuarios que tenes y poner trabas de seguridad