Spike Merhaba,
güvenlik duvarını, kodlarken parametre kullanmak, CSRF, XSS gibi genel güvenlik açıklarını, SESSION Hijacking gibi saldırıları dikkat etmen gerekir.
Özetle;
CSRF, XSS, Session Hijacking gibi birçok saldırı tipi var. Bunları engellemek için scriptler yazman gerekecek.
Sunucun olması gerekiyor; firewall aktif hale getirip ilgili kuralları girmelisin ki izinsiz erişim olmasın.
DB tarafında veritabanı kullanıcılarını çok iyi yetkilendirmen lazım. MySQL'de var mı bilmiyorum view tabloları ile sınırlı şekilde kayıtlara erişim sağlayabilirsin. Gerçek önerim web servis. Sen istek atarsın o veritabanında isteğini yapar ve sonuç dönderir ona göre işlem yaparsın.
PHP ile yazacaksan PDO ile parametrik şekilde kodlamalısın. Yani SQL cümleleri içerisinde + gibi birleştirme operatörü olmamalı direkt olarak parametre ile yazman gerekecek.
Projeyi sınıf sınıf yazman daha iyi. Projeyi bitirdikten sonra testler ile tek tek açıkları kapatırsın.