Oh joy - un altro framework PHP. Per favore, scusa il mio sarcasmo, ma ci sono un numero enorme di strutture che galleggiano tutt'attorno. La maggior parte sono gonfie, lente e piene di bug di sicurezza. Ma almeno stai cercando di affrontare i problemi di sicurezza in anticipo.
Direi che è discutibile se un framework debba fornire il proprio livello di astrazione del database. per esempio. A volte il pattern di registrazione attivo è utile, ma non sempre.
Di gran lunga il componente aggiuntivo di sicurezza più prezioso sarebbe la garanzia di compatibilità con le versioni precedenti per incoraggiare la tua base di utenti ad eseguire l'upgrade quando rilascerai nuove versioni.
Come per il mio commento altrove, la convalida non è un problema di sicurezza - sono rappresentazioni corrette dei dati. Fornire un semplice meccanismo per cambiare tra le rappresentazioni per diversi target e da / verso i formati neutri di destinazione (che di solito significa alcune modifiche alla codifica base64) sarebbe buono.
Tuttavia, la convalida dei problemi funzionali non è una cosa negativa - ad es. assicurandoti che la data di partenza per una prenotazione sia successiva alla data di arrivo.
La registrazione è molto importante.
Vale la pena considerare la sandboxing dei file I / O.
Come dice Chris, dovresti fornire prevenzione contro il dirottamento / la fissazione delle sessioni.
Potresti considerare di fornire un framework di autenticazione (dopotutto se hai ACL stai già imponendo alcuni vincoli su come l'autenticazione è implementata).
Se vuoi un framework veramente sicuro, pensa a come implementerai le sessioni non ricercabili (le uniche soluzioni che ho trovato per questo si basano sui demoni per la separazione dei privilegi - quindi sono del tutto inadatte per la maggior parte delle persone che desidera proteggere i dati di sessione, ad esempio quelli sui pacchetti di hosting condiviso a basso costo.
Ci sono molte altre cose fuori dal dominio di sicurezza - ad es. supporto per la messaggistica asincrona. Ma tieni a mente ogni volta che aggiungi più funzionalità potresti negare la possibilità di utilizzare un framework complementare accanto al tuo (ad es. Smarty, gabbiano, la dottrina è molto capace in aree specifiche)