Zu deinem großen Projekt:

1. Benutzte parametrisierte SQL-Anfragen!
2. Betreibe, wo es geht, kein Blacklisting, sondern sondern überprüfe auf den Wertebereich, den du haben willst.
3. Wo das nicht geht: Zum Filtern von Text (zB. nach "bösem" HTML) gibt es Projekte, die vermutlich besser machen als man selbst [1, 2, usw.].
4. Gleiches gilt für das Erkennen von Angriffen.

Das sollte eigentlich nicht nur für PHP gelten

Die Negativbeispiele sehe ich auf Anhieb nicht klar heraus, habe aber nicht annähernd soviel PHP gesehen wie Valle.