http://d.hatena.ne.jp/ripjyr/20070214/1171403597
まっちゃさんが書かれてますけど、結構フレームワークやコードジェネレータ使えば、Injection系の攻撃や、CSRFなんかのロジック破壊系の攻撃は防げると思います。というか、某所でいくつか実験したら、防げました。
ただ、そういったものは制約が多いわけで･･･検証アプリを作った人は苦労してたみたいです。
この内容については、そのうちどこかで発表することになるでしょうが、こうご期待w
ちまっとしたことはソバのときに話せそうです。

また、設計なんかでもかなり防ぐことは出来るでしょうし。ちょっと考えただけでも、入力データの整合性チェックなんかが思いつきますよね(ま、これはセキュリティ対策ではなく、セキュリティ対策にもなりうる設計だけど^^;)。ホスト系の開発だとこんなん必要なんか?と思うぐらい入力データの整合性チェックをしてた記憶があります。これがWebアプリとなると･･･orz
こっちの方の検討もそのうち文書として出したいなぁと思ってますが、いつになることやらw