Weblabor

Szia!

Ugyanúgy kell kezelni őket, mint a sima űrlapból érkező adatokat, szóval mindent validálni kell, ami bejön. Ezt nem is ragozom tovább.
Session cookie-nál állítsd be a http-only flag-et, hogy ne lehessen XSS-nél javascripttel lekérni a session_id-t. Permanens auth cookie-nál szintén http-only flag kell, hogy XSS-el ne tudják leszedni.
Szerver TRACE kikapcsolása alap, bár az már a szolgáltatódtól függ.
Érdemes XSS ellen is védekezni, szal nem szabad, hogy javascriptet küldjenek tartalomnak vagy linknek.
CSRF ellen legalább annyit tegyél, hogy minden felhasználónak generálsz egy egyedi azonosítót (ezt elég regisztrációkor megtenned), és azt minden POST-ban visszautaztatod header-ben. Egyébként is a bejövő POST-oknál ellenőrizni kell, hogy mi a referer, ezt a böngészők egy jó része támogatja, a másik felénél meg figyelmen kívül lehet hagyni.
Tehetsz bele az oldalba setTimeout-ot, ami a session lejárta előtt automatikusan meghosszabbítja azt. Így nem kell azzal foglalkozni, hogy mi van, ha valaki éppen hosszasan commentet ír, és közben lejár a session-je. Meg így ha POST jön be, és nincs még session az illetőnél, akkor 100%, hogy külső oldalról jött a POST, és CSRFről vagy hasonlóról van szó.
Érdemes talán az user-agent headert is nézni, hogy megváltozik e menet közben, talán nem gyakori, hogy böngészőt vált az ember egy oldal nézése közben. :-P
(window.XMLHttpRequest meg window.ActiveXObject meg hasonló dolgokat át lehet tenni saját closure-ba és törölni az eredeti helyükről. Ezt mondjuk még nem próbáltam ki, de tervben van.)
Mysql real escape string-et használj az összes bejövő paraméterre, érdemes template-ként megadni a query-det, aztán automatizálni a paraméterek escapelését. Ez mondjuk nem mindig megoldható, de az esetek nagy részében igen.
Login-nál generáld újra a session_id-t, mert elég laza a php session kezelése, könnyű belekényszeríteni valakit sessionbe.
Érdemes captchat betenni bizonyos helyekre, nézni kell a bejelentkezésnél a hibás próbálkozások számát, mind session szinten, mind account szinten. POST küldés után érdemes várakoztatni a választ bizonyos helyeken, pl ha valahova comment-el az illető, különben egy bot telegányolhatja az oldaladat.

Kb ennyi ami most eszembe jut, de nincs kifejezetten ajaxos oldalt támadó kód. Bármilyen oldalt csinálsz, nézni kell ezeket.

Még annyival egészíteném ki az előttem szólók válaszát, hogy az adatbázis-műveletekhez használd a php beépített PDO kiterjesztését. Azon belül pedig a bindParam metódust a változók query-nek történő átadásakor, ezzel nagyban csökkented az SQL befecskendezéses támadások lehetőségét.

Továbbá ajánlom figyelmedbe a következő cikket, nekem annak idején sok újat mondott:
Munkamenet kezelés biztonsági kérdései

Nu7ec