Een compleet veilig systeem is eigenlijk onmogelijk, maar een aanpak die vaak wordt gebruikt bij beveiliging van systemen is het uitbalanseren van risico en bruikbaarheid. Als elke geposte variabele wordt gecontroleerd door een gebruiker twee vormen van biometrische authenticatie te laten doen (zoals een netvliesscan en een vingerafdruk), dan zou je een enorm veilig systeem hebben. Op deze manier zal het wel een uur duren om een redelijk complex web formulier in te vullen. Op deze manier zullen gebruikers een manier gaan zoeken om de beveiliging te omzeilen om hun werk te doen.
De beste manier van beveiliging is vaak te strak om gebruikers gewoon kun werk te laten doen, of om de developer dood te gooien met vergaande complexiteit. Sommige manieren van aanvallen op systemen zijn zelfs ontstaan vanwege een overkill aan beveiliging.
Een regel om te onthouden: Een systeem is even veilig als de zwakste schakel. Als alle transacties zwaar worden gelogd om basis van tijd, locatie, transactie type, etc., maar de gebruiker wordt alleen maar geverifieerd op bases van יי, dan is de controle op de gebruiker in het transactie log redelijke onzin.
Houd tijdens het testen in gedachten dat je nooit alle mogelijkheden kan testen voor zelfs de simpelste pagina. De invoer die je voor je kiezen kan krijgen verschilt natuurlijk tussen een ontevreden werknemer, een cracker, met maanden van onderzoek achter de hand, of een huiskat die over het toetsenbord loopt. Daarom is het belangrijk om vanuit een logisch perspectief te kijken en zo uit te vinden waar vreemde gegevens tot stand kunnen komen, en wat voor implicaties dit kan hebben op de rest van de code.
Het Internet zit vol met mensen die proberen naam te maken door proberen in te breken in jouw code, het laten crashen van je site of ongewenste teksten te plaatsen, om so je dag wat interesanter te maken. Het maakt niet uit of je een kleine of grote website hebt, je kunt alleen al worden aangevallen omdat je simpelweg online bent en een server met internet toegang heeft. Veel cracking programma's kijken niet naar de grote van een site, ze proberen simpelweg massieve IP blokken door te zoeken naar mogelijke slachtoffers. Zorg dat je er geen wordt.