Ha az eddig leírt biztonsági előírásokat betartjuk, akkor kicsi a valószínűsége, hogy a php alapú fejlesztéseinket támadók feltörjék, de sokan használnak előre elkészített keretrendszereken alapuló website-okat, amelyeket mások fejlesztettek. Ezekben igenis lehetnek olyan beállítások, amelyek veszélyeztetik a rendszer biztonságát.
Például egyes portál motorokon a felhasználók szabadon regisztrálhatnak usernevet. Ha a portál üzemeltetője nem állítja be az ilyen módon regisztrálók jogosultságait, akkor könnyen megtörhetővé válhat a portál. Nézzünk néhány példát.
Ha a usernek van szabad írása a portál weben elérhető könyvtáraira, és szabad neki fájlokat - nem csak képeket - feltölteni, akkor futtatható fájlok feltöltésével galibákat lehet okozni.
Ha a user adatbevitelkor nem csak html kódot vihet be, akkor a kliens javascript vagy php kódot beszúrva a bevitt szövegbe biztonsági problémákat okozhat.
Ha a user adatbevitelkor csak html kódot írhat be, de ebbe beleértendő a javascript kód is, akkor a felhasználónak lehetnek problémája a XSS (=Cross-Site Scripting) jellegű támadásokkal.
Az alkalmazások adminisztrációs felületén a default usernevet és jelszót át kell írni. A jelszó legyen eléggé erős, azaz legalább 8 karakter hosszú, legyen kis- és nagybetű, szám, és egyéb írásjel is.
Az alkalmazások adminisztrációs könyvtárát a defaultról át kell írni megfelelően elbonyolított elérési útvonalra.
Ha a rendszerben van captcha, akkor használjuk, mivel ez plusz nehezíti a belépés lehetőségét.