在应用中多为合法用户着想。

一个安全的设计只是解决方案的一部分。开发的时候，当编码开始进行的时候，为应用中的那些合法用户着想是很有必要的。一般，目标是使应用像预先制定的那样工作，同时就有必要实现一个适当的应用功能，而这并没有使得应用更加安全。

培训自己。

能够阅读本指南的读者说明本身关心安全，虽然听起来像陈词滥调，但这是非常关键的一步。有大量的可用资源在WEB或书籍中，还有很多资源被PHP安全联盟的资料库收录： http://phpsec.org/library/.

首先，过滤所有的外部数据。

数据过滤在任何语言、任何平台上都是 WEB 应用安全的基石。对变量进行了初始化，并且过滤了从外部得到的所有的数据，使得你事半功倍，花费不多的经理却阻止了可能的主要安全漏洞。一个白名单比一个黑名单要好。这就意味着应当认为所有的数据都是非法的直到它可以被证明为合法（比认为所有的数据都是合法的直到它可以被证明为非法要好）。