Hiho,

das ist alles eine Frage von deinem können. In PHP an sich sind mir keine Sicherheitslücken bekannt. Diese entstehen erst beim schreiben von Scripten.
Als ein Tipp: Du solltest unbedingt beachten, das alle Variablen die du im Script verwendest am Anfang des Scriptes zu löschen (natürlich ausgenommen derer, die du von aussen brauchst, z.b. Usereingaben). Den selben Effekt hat es wenn bei deiner PHP Version REGISTR_GLOBALS off ist. Das ist aber bei den meisten Providern nicht so, damit auch ältere Scripte lauffähig bleiben.
Ansonsten dem User nicht trauen. Alle Eingaben aufs genauste testen (z.b. wenn du Zahlen erwartest auch sicherzustellen das Zahlen ankommen). Wenn du mit generierten Links arbeitest unbedingt sicherstellen, das die übermittelten Werte auch "möglich" sind.
Bsp: Du generierst einen Link mit einem Usernamen und dann den Link auf den User Bereich. Dabei darfst du dich aber nicht darauf verlassen das sonst keiner da hin kommt, weil der Link so generiert wurde. Du musst immer damit rechnen, das jemand daran rummanipuliert. Deswegen jede Info die vom user kommt genaustens prüfen (passen Username und angegebenes Linkziel zusammen).
Und ganz wichtig: In alle Verzeichnisse eine index.php (oder index.htm) rein machen!