innanzitutto, puoi iniziare col "proteggere" il login.

1)Criptando i dati presenti nel database, e decriptandoli al momendo della verifica login
2)Filtrare i dati immessi nei capi user e password, con funzioni apposite per ripulire apici pericolosi o stringhe html.

Sei fai questo con molta attenzione, sarà molto difficile che possano far danni, anche perchè usando il session_start(), in pogni pagina dell'area protetta non possono accedere anulla ne modificare nulla!