Vale, en el foro hay tutoriales sobre lo que es el login de usuario, registro, etcétera. Ahora te voy aclarando las dudas que pusiste en el tema:

- Para evitar las SQLi (SQL Inyection), puedes usar htmlspecialchars(), htmlentities(), strip_slashes() ó mysql_real_escape_string().

- Ahora, para lo del sistema de modulación (index.php?id=nuevapagina), también puedes buscar los tutoriales en el foro, lo único que tienes que cambiar es agregarle un define al index.php, osea, que antes de que comienzas el sistema de modulación, le agregas el siguiente código:

<?php
define(&#39;modulacion&#39;, true);
?>

Luego, a cada archivo (nuevapagina.php), debes de comprobarle que se haya definido la variable de modulación, para eso pones el siguiente código al principio:

<?php
if(!defined(&#39;modulacion&#39;)){ die(&#39;No me trates de armar la web xD&#39;); }
?>

Espero que te haya ayudado, de igual manera te dejo el link hacia la lista de los tutoriales más necesarios e importantes a la hora de hacer tu web

Saludos ^^
Enlace: Lista de tutoriales publicados.

Bueno, en principio tengo pensado crear una web simple con paginas visibles para todos y privadas que requieren login.
Antes de todo hay que crear el archivo install.php que creará la base de datos con la información del usuario.

install.php
<?php
  if (file_exists("includes/config.php"))
    include("includes/config.php");

  $conexion = mysql_connect($host, $user_db, $pass_db) or die (mysql_error());

  // CREACION DE LA BASE DE DATOS
  $crearDataBase = "CREATE DATABASE IF NOT EXISTS $db;";
  $comando = mysql_query($crearDataBase, $conexion);

  // CREACION DE LA TABLA DE INFORMACION DE LOS ADMINISTRADORES
  $comando = mysql_select_db($db, $conexion);

  $crearTable  = "CREATE TABLE IF NOT EXISTS $info_admins (
      admin VARCHAR (20) NOT NULL default &#39;&#39;,
      pass VARCHAR (40) NOT NULL default &#39;&#39;,
      date VARCHAR (10) NOT NULL default &#39;&#39;,
      hour VARCHAR (8) NOT NULL default &#39;&#39;,
      PRIMARY KEY (admin)
    ) TYPE=MyISAM COMMENT=&#39;Administradores de la BD&#39;;";
  
  $comando = mysql_query($crearTable, $conexion);

  $date     = date("d.m.Y");
  $hour     = date("H:i:s");
  $clave    = md5("passAdmin");
  $insertar = "INSERT INTO $info_admins (admin, pass, date, hour) VALUES (&#39;admin&#39;, &#39;$clave&#39;, &#39;$date&#39;, &#39;$hour&#39;);";
  $comando = mysql_query($insertar, $conexion);
  
  mysql_close();
?>

Para ello requiere el fichero config.php dentro de la carpeta includes
includes/config.php
<?php
  $host    = "localhost";
  $user_db = "root";
  $pass_db = "passRoot";
  
  $db = "nombreBD";
  
  $info_admins  = "info_admins";
?>

En cuanto a este codigo, supongo que se le pueden hacer muchas mejoras...

Respecto a los tokens he encontrado a lo que me refería, esta en el siguiente link: http://maycolalvarez.blogspot.com/2010/03/seguridad-en-php-csrf-o-falsificacion.html

$us=mysql_real_escape_string($_POST['usuario']);
$pass=mysql_real_escape_string($_POST['pass']);
$sql="SELECT * FROM usuarios WHERE user = '$us' AND password='$pass'";

Realmente esta es la forma más segura de hacerlo?

Sí sí, ya me lo había mirado pero digo si así es la forma más segura, usando doble comillas $sql="SELECT ...
En cuánto a los archivos config.php e install.php, se que no son nada del otro mundo (son sencillos) pero se podrían mejorar?

He pensado realizar todo esto orientado a objetos y así poderlo hacer más reutilizable, a ver que tal sale...

Y segundo, se puede usar mysql_real_escape_string() o addslashes() que hacen lo mismo.

Tanto mysql_real_escape_string como addslashes, añaden barras invertidas donde encuentre una comilla (simple o doble).
Si tenemos el texto: este' es un ejemplo"
Se convertirá a: este\' es un ejemplo\"

Con lo cual si antes de ejecutar cualquier consulta (o incluir cualquier cualquier archivo usando GET..) ponemos addslashes evitaremos cualquier inyección ^^

En realidad no son iguales: addslashes no evita cualquier inyección.
Ojo: http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string

Saludos!

Cambiando un poco el tema, he pensado en hacer el sistema de la siguiente forma, si tenemos una url asi index.php?buscar=45 y luego mediante:

RewriteEngine on
RewriteRule ^index.php/([^/]+)/([^/]+)/index.php?buscar=45  [NC]
Url normal: index.php?buscar=45
Modificada: index.php/45

De esta forma la url es más amigable y mejora el SEO no?
Qué os parece?

PD: No se si la expresión regular está bien