A nivel de base de datoste puedo sugerir lo siguiente
- Usar procedimientos almacenados para realiza consultas sensibles, ejemplo validación de contraseñas
- Prepared Statements para tus consultas http://dev.mysql.com/tech-resources/...tatements.html
- Al usuario de base de datos que usa la web debe tener solo los permisos necesarios, ejemplo: si solo consulta información, pues el usuario que se conecta a la DB debe tener permisos para hacer solo selects.

Saludos!