De grootste zwakheid in veel PHP programma's ligt niet in de taal zelf, maar is meer een slechte stijl van programmeren zonder beveiliging in gedachten. Om deze reden, zul je ALTIJD de tijd moeten nemen om na te denken over de implicaties van elke stuk code, om te verzekeren dat er geen schade kan worden aangericht omdat er een variabele verkeerd staat.
Zal dit script alleen de bedoelde bestanden benaderen?
Kan er worden omgegeaan met niet gewenste gegevens?
Kan dit script gebruikt worden voor niet bedoelde zaken?
Kan het gebruikt worden in samenwerking met andere scripts in negatieve zin?
Worden alle transactions voldoende gelogd?
Je kunt ook overwegen om register_globals, magic_quotes, of andere handigheden uit te zetten die je kunnen tegenwerken om de validiteit, herkomst, of waarde van een gegeven variabele te conroleren. Het werken met PHP in error_reporting(E_ALL) mode kan je ook helpen waarschuwen over variabelen die gebruikt worden voordat ze zijn gecontroleerd of geïnitialiseerd.