Pour la sécurité, je suis pas spécialiste mais il ya plusieurs points sur lesquels il faut faire gaffe.
_Les injections sql (cherche une doc sur google là-dessus. Il faut savoir s'en prémunir). Ca peut faire des ravages.
_S'assurer que le safe_mode dans php_ini est à ON
_Utiliser, quand on peut, un utilisateur avec les stricts droits necessaires pour les opérations sur la base de données (je parle des utilisateurs référencés dans la base).
_Utiliser des fonctions de hashage si tu stockes des mots de passe (et stocke les dans une base de données plutôt qu'un fichier). Tu as comme fonctions md5 et sha1 par exemple. Comme ça, si quelqu'un peut faire une injection dans ta base, il ne pourra pas récupérer les mots de passe.
_S'assurer que, lorsque quelqu'un poste du texte sur ton site (si c'est possible), il n'insère pas de script malicieux (regarde du côté des scripts qui s'executent côté client comme le Javascript par exemple).
_Définir un temps limite aux sessions.
_Si tu fais des contrôles sur les formulaires importants pour la sécurité, fais les côtés serveur plutôt que côté clients...
_etc....
Et aussi:
http://bob.developpez.com/phpauth/
Et si tu utilises des scripts d'autres personnes qui sont maintenus, vérifie régulièrement leurs mises à jour (exemple: PhpBB), ça c'est très important!!
