уязвимости в саитах

Kali-linux вам в помошь - общепризнанный набор инструментов для пентестинга

Ну если кто то захочет то взломают что бы вы не делали. Тем более если вы начинающий сайтостроитель. Всех дыр не учтешь. Просто совет все функции которые могут выдавать ошибки в реальном проекте лучше подавлять через @.

Уязвимости везде разные и зависят от того, что делает приложение (скрипт), как делает, какое ПО использует, как использует и т. д.
Причем не только ваш код уязвимости содержит, но и веб-сервер, принимающий запросы пользователей и передающим им страницы, и интерпретатор php, который обрабатывает и выполняет ваш код, и операционная система.
Самые распространенные косяки разработчиков скриптов вы уже сами перечислили. Дальше все зависит от деталей реализации и от особенностей сайта.
Еще бывает часто забывают прикрыть доступ к скриптам. работающим отдельно и реализующим мелкие функции и удобства системы управления.
Например, в админке есть визуальный редактор, в нем кнопка "Вставить изображение", которая дает доступ к интерфейсу загрузки файлов. При этом в скрипте, принимающем файлы и сохраняющем их на сервере, не контролируют права доступа пользователя к админке (забыли, или вообще используется сторонний редактор и плагин загрузки файлов к нему как есть) — злоумышленник может напрямую обратиться к скрипту загрузки файлов редактора и передать ему свой php-скрипт (или любой другой файл), который будет сохранен на сервере.
Часто эта проблема сопровождается тем, что к любому загруженному таким образом файлу можно обратиться напрямую, а обработка скриптов в директории загруженных файлов не отключена. Тогда загруженный php-скрипт спокойно запускается путем обращения к нему через браузер.