En mi opinión, para el tipo de aplicación que comentas necesitas un Certificado de Seguridad de Servidor, de forma imprescindible, a parte de como dices controlar que introduce el usuario para evitar inyección, encriptación de contraseñas en la BD, utilizar un firewall (imprescindible), obligar a cambios regulares de contraseña y contraseñas largas o complejas, para evitar ataques por fuerza bruta ... y aun así por mucho que pongas, nunca será 100% seguro.