el path depende de en que nivel coloques tu base de datos....
en cuanto a seguridad, ufff... empieza encriptando las claves de tus usuarios (si es ke tienes) en tu base de datos mediante algun algoritmo de encriptacion (MD5, SHA-1, DES, etc)...
seria bueno que revisaras algo
encriptacion Criptografia
lo otro es contratar algun certificado de seguridad...pero eso implica $$$.
igual ten presente que todos los datos personales del usuario tienes que pasarlos por post y no por metodo get ya que se reflejarian en la url.