http://en.yummy.stripper.jp/?eid=835168
いけぴょんさんとこ 経由。いけぴょんさんとこのリンクは #comments は外したほうがいいと思った。

1. クライアントサイド(JavaScript)でのチェックのみ。
2. 選択肢式の入力欄に対するチェックの漏れ。
3. 確認画面に遷移するときにはチェックするのに、完了画面に遷移するときにはチェックしない。
4. postのみを許可すれば入力値をいじることはできないという勘違い。
5. フロントエンドはSSLなのに、裏では管理者にメールを飛ばしている。
6. フロントエンドはSSLなのに、蓄積されたデータをFTPでダウンロードする。

んー、1〜4 は分かりやすいしよくあるな。
5, 6 はやり方次第かもしれないけど、基本ダメでしょうね。別に担保があればいいかもだけど。