以下のような弱点がないか

• クロスサイトスクリプティング
• SQL インジェクション
• シェルコマンドに不正な文字列が渡っている

共通するのはクライアントからの入力をチェックし、適切にエスケープしているかどうかどうかという点。

クライアントから渡される情報は、一切信用できない。(UserAgent、Referer、GET文字列、POSTデータ、COOKIEデータ等)

ちょっと検索してみただけでもいろいろな資料が見つかった。

• Web アプリケーションセキュリティ (PDF)
• Web セキュアプログラミング (PDF)
• Web アプリのセキュリティ (PowerPoint)