• 『PHPのセキュリティ機能入門』
  http://www.asial.co.jp/php-security.pdf
  via http://itpro.nikkeibp.co.jp/members/ITPro/oss/20050805/165972/

うっ、session_regenerate_id()は使ってなかった。

• PEAR :: Package :: HTML_QuickForm
  http://pear.php.net/package/HTML_QuickForm

• Automatic server-side validation and filtering.
• On request javascript code generation for client-side validation.

って書いてあるから使えるのかな？中見てないのでどんなものか分からないけど。しかし、フォームをすべてPHPで記述するのはそれはそれで敷居が高いかもしれない。