Deberías protegerte frente a:
- Ataques de fuerza bruta de claves (utiliza políticas de claves difíciles de obtener)
- SQL Injection (Verifica los accesos a base de datos que concedes a tus usuarios, los mensajes de error y sobre todo aplica comillas mágicas a todas las cadenas que te metan los usuarios.
- XSS (Cross Site Scripting) Valida bien todo y no permitas que introduzcan scripts en tu código.
De momento creo q es suficiente. Puedes bajarte alguna herramienta de diagnóstico como Paros proxy.