pues la primera, regla y la mas importante, cualquier variable que entre a tu sistema, existen muchas variables que a veces se ignora y se hace uso como el USER_AGENT que puede ser manipulado , cualquier variable que entre a tu sistema, debes SANITIZARLO, en caso de consultas SQL, en php tienes la opcion para PDO de usar, BIND_PARAM, o directamente un array desde la funcion EXECUTE

http://php.net/manual/es/pdostatement.bindparam.php

para lo demas, sobre todo si haces soporte de que un usuario ya sea logeado o no, y le permitas subir algun archivo, ahi es donde debes ponerle mayor seguridad, revisar todo lo que entra , para evitar que te inserten algun codigo o incluso que sobrescriba algun archivo,

lo otro ya seria que te mantengas actualizado, todos los programas, APACHE a su ultima Version, PHP a una version segura, y actualizada, para tus cuentas de FTP y demas uses contraseñas fuertes, mantelo asi y es casi 98% que no tendras problemas de ataques. el otro 2% es por que por ejemplo suelen aparecer BUGS explotables de APACHE, LINUX, PHP o MYSQL que no tendrias control alguno, y podrian aprovechar para inyectar trozos de codigo o archivos de codigo den tu servidor. la unica recomendacion es que estes atentos a noticias, en caso de que exista algun BUG que sea grave. tomes las medidas necesarias. y siempre siempre hagas uso de BACKUPS de base de datos cada mes.

si tu sistema es delicado maneja transacciones y demas, los backups tienen que ser diarios y a tus clientes asignarles informacion imprimible para respaldar transacciones ,etc...