also zumindest das Thema Serverkonfiguration ist schon mal raus

Das kann je nach Hoster böse enden.

Gibt es außer Prepared Statements und Passwort Hashing & Salting weitere Themen?

HTTPS, HTTPS erzwingen, POST erzwingen, Session-ID nicht in der URL übermitteln, User- oder fremdgenerierte Inhalte machen im Zusammenhang mit JS und CSS womöglich weitere Probleme, verschlüsselte Kommunikation zwischen PHP und Datenbankserver, … (endlose Liste)