lo que expones vale para XSS, pero no para CSRF

otros tips importantes:
-validar file uploads para evitar inyecciones de código php
-cambiar frecuentemente la clave del FTP (si se tiene)
-bloquear la base de datos para conexiones locales (si es que no amerita externas)
-usar CAPTCHA cuando se requiera verificar si el usuario es "humano"
-validar siempre en el servidor, javascript es efímero
-y por último, por lo que más quieran, no colocar contraseñas como: dios, amor, paz y 1234