Leider macht es PHP einem nicht gerade leicht, sichere Webanwendungen zu programmieren.
Und wenn es generell so einfach wäre wie du sagst, dann wären nicht selbst namhafte Lösungen wie z.B. WordPress häufig von Sicherheitslücken betroffen.
Nur weil es namhaft ist, heißt es ja nicht, dass es guter Code ist.
Wordpress Code ist nicht gerade sauber und viele PHP Macken sind abzuwenden wenn man richtig nachdenkt. Außerdem mit PDO (DB Wrapper den PHP direkt anbietet) sowie einer Template Engine wie Smarty (ebenfalls etwas, dass Wordpress nicht benutzt, denn dort wird HTML [Design] mit PHP [Logik] vermischt) , werden solche Fehleranfälligkeiten nochmal stark reduziert. Nutzt man dann noch so etwas (
http://www.aditu.de/2010/01/30/intrusion…ion-mit-phpids/) was ein guter Freund von mir mit entwickelt hat, dann dürften SQL Injections oder XSS regulär nicht mehr vorkommen. Man muss sich eben nur informieren, *was* sicheres und gutes PHP / oder generell sichere Webanwendungen sind.
Aus eigener Erfahrung empfehle ich daher immer gern diese zwei Bücher:
http://www.amazon.de/PHP-Sicherheit-PHP-…/dp/3898645355/
http://www.amazon.de/Sichere-Webanwendun…/dp/3836211947/
Aber ich glaube wir schweifen etwas ab.