Cómo seguridad total, alguna vez leí en este foro algo muy sabio que alguien dijo algo así como "Si no querés que te roben, no publiques en internet" jaja.. pero bueno.. para intentar hacerlo lo más seguro posible, te cuento que a mi entender lo mejor sería, como primera medida meter todas las consultas , inserts, etc en Stored Procedures.
con eso y algunas cositas, como las comillas simples y esas coas.. más o menos estaría.

Después hya muuuchas cosas, como tener 3 servidores, y que los usuarios en realidad acceden a unos solo, donde están los ASP's y estos ASP's a su vez en realidad deberían conectarse con archivos DLL's encapsulados, o sea que nadie puede ver el código y blabla bla bla bla...
Pero creo que con los stores y las comillas y esas cosas... estaría bien
SALUDOS!