Bonjour !
J'ai construit un robot d'alertes en PHP HTML5 sans framework, mais avec des bibliothèques bien sûr.
J'aimerais implémenter un niveau de sécurité égal ou au moins proche de celui offert par Symfony ou Laravel par exemple.

Voici ce que j'ai mis en place et que j'appelle les fondamentaux :

• * Nettoyage et validation de toutes les entrées utilisateur avant insertion dans bdd
  * Hash et multi-salage des mots de passe avant insertion dans bdd
  * Echapper toutes les sorties
  * Requêtes bdd préparées avec PDO
  * Accès restreint avec open_basedir
  * Login limité à 5 tentatives/demi-heure
  * Pare-feu finement configuré avec uniquement les ports nécessaires ouverts
  * Session PHP limitée à 20 minutes
  * Pas de variables globales
  * Pas d'iframes
  * TLS pour serveur SMTP
  * Uniquement les modules nécessaires installés sur le VPS

Que dois-je implémenter et/ou rectifier pour que mon application atteigne un niveau de sécurité pro ?

SVP pas de réponses du genre "Tu devrais vraiment essayer Laravel, ou ci ou ça...". Je bosse avec des frameworks PHP, JS et Python sur des projets en équipe, je n'ai rien contre les frameworks. Simplement, je hais le paradigme MVC, voilà tout !!!

Il y a beaucoup de paramètres à prendre en compte donc difficile de t'orienter vers un plutôt qu'un autre.

Un site très utile et bien fait c'est un rappel des bonnes pratiques de développements PHP :
https://eilgin.github.io/php-the-right-way/

Et 2 autres sites plus spécifiques sur la sécurité :
https://www.cases.lu/publications/recom ... ns_fr.html
https://docs.php.earth/security/intro/

Après ma recommandation sera de faire faire un audit/pentest de ton code par une société spécialisée si tu as vraiment besoin de valider la robustesse de ton code.

PHP the Right way est un peu ma bible PHP avec le site officiel.
Quant aux 2 autres liens, c'est exactement ce que je voulais, c'est à dire une cheatsheet qui regroupe toutes les étapes de manière exhaustive.
Merci beaucoup pour ces références.