ひとことでセキュリティといっても範囲が広すぎて全部カバーはできないと思いますので、

本当に最低限のことを言います。

また、ウェブアプリケーションへの攻撃手法んはさまざまなものがありませので以下の３つを正しく行うことで、多くの脆弱性を防げるかと思います。

１つ目は、入力値の厳格な検証について
２つ目は、出力時の適切なエスケープ処理
最後は、重複するような対策

・入力値の厳格な検証というのは、例えば、
ユーザーが数字などを入力する場合は、正の整数であるとし、この場合、
年齢とかを入力する場合は、最大が１００程度にしておくとします。
たとえば、０から１２０以下の整数はエラーとし、処理を継続させないようにします。
このように検証することで、攻撃文字（’-- ;など）を入力されSQLインジェクション
を防ぐことにもつながります。

・出力時の適切なエスケープ処理について
特殊文字（「<」、「>」など）を適切な方法でエスケープすること。

・重複するような対策
例えば、ユーザーがパスワードの入力を再度求めるようにしておけば、セッションハイジャックでセッションが乗っ取られてしまった場合でも、
攻撃側はパスワードを知りえないので、被害の拡大を防ぐことができます。

以上の３点が最低限注意すべき点です。