mm .. El procedimiento sería el de leer sobre el tema .. SI hay problemas de seguridad en una aplicación normalmente es por qué no se ha previsto (por desconocimiento) algún posible problema como el que mencionas de inyección SQL ... Para Mysql en principio se puede solventar gran parte del problema usando mysql_escape_string() antes de dar un dato para tu consulta SQL (para formar tu cadena SQL a ejecutar) .. Eso añade un slash (/) a los caracteres tipo ' (comilla) y similares que son los usados para "componer" ese SQL "malicioso" ...

Los problemas con las sesiones o cookies .. depende mucho como hagas tu programación y parte también sobre la configuración de PHP. Un ejemplo de mala combinación sería NO usar los arrays superglobales ($_SESSION, $_COOKIES .. $_POST .. etc) en conjunto con (php.ini) register_globals a ON .. y usar cosas como $autentificado="SI" como variable "global" de cookie/sesión .. (se vé mucho aunque no lo creas).

En fin .. todo depende de lo que profundices en los temas expuestos. No te olvides de la configuración de PHP .. interviene mucho en la mayoría de problemas de seguridad.

Un saludo,