Cita:
Iniciado por dashtrash 
- Dejar sólo accesible 1 solo punto de entrada, index.php.Todo el resto de código php no debe ser accesible por http.
En este punto concuerdo contigo totalmente ya que es la estructura que yo sigo y animo a que apuesten por esta estructura , tiene muchas ventajas.
Cita:
Iniciado por dashtrash Otras medidas son no incluir los campos clave de los formularios (los que usualmente son campos hidden).En vez de esos campos, se incluye un hash, que apunta a una variable de sesion que contiene los índices para ese formulario.
podria explicarlo con un ejemplo aunque sea muy basico , para que todo el mundo pueda entenderlo?
muchas gracias por tu aportacion , muy interesante.
De grano en grano llena la gallina el buche.