Najważniejsze to sanityzacja całej zawartości podawanej przez użytkownika: funkcje oczyszczające tekst, sprawdzanie typów MIME i rozszerzeń plików. Po drugie, zabezpieczenie przed błedami powodowanymi przez wpisanie "z palca" adresu konkretnego podskryptu. Po trzecie jak najmniejsze korzystanie z zawartości z innych stron, najlepiej wszystko mieć po swojemu i na swoim serwerze. Co do tego jak są przeprowadzane takie ataki to poczytaj trochę o atakach xss i SQL injection.