para poder evitar inyecciones sql o modificaciones de la logica de tu aplicacion por culpa de algun parametro es lo siguietne en cada archivo que reciba una peticion y evalue parametros.


esto es teorico :
* una lista de los parametros recibidos
* definir cada parametro con un tipo

en lo practtico:
ponerle una expresion regular a cada para asegurarte que pase el parametro del tipo que vos esperar y no una inyeccion .

por ejemplo
por cada parametro tendrias que tener una validacion de este tipo
si tu usuario a validad solo permite letras mayus , letras minus y numeros con eso andaria
if(preg_match("/^[a-zA-Z0-9]*$/",$usuario))
{
return true;
}
return false;
de esta forma si te quieren inyectar algo en ese campo para poder robarte la basde con eso frenarias a los primeros...

obviamente la seguridad de tu pagina o aplicacion web depende de muchas cosas mas pero es un buen inicio