Доброго времени суток. Задался тут вопросом безопасности того, что сотворил, и решил поинтересоватся у специалистов. =)

Что я уже сделал:
- фильтрацию данных из форм через htmlspecialchars() и проверку на соответствие регулярному выражению через preg_match();
- защищиту форм через генерацию ключа в поле hidden и запись в сессию;
- нагло своровал чей-то .htaccess и настроил для себя (изменял только mod_rewrite, в правильности сомневаюсь );
- запросы к бд через url не производятся;
- пароли пропускаются через md5();
- а xss на хостинге не срабатывает, уже проверял вводя <script>alert('xss');</script> в адресную строку... хотя на денвере работало. о_О