Me delegaron un sitio web para optimizar en cuanto a programacion y seguridad en la base de datos, el sitio esta construido en asp clasico y bd sql server 2000, el problema era que estuvo siendo atacado por sql injection, he cerrado todas las puertas a nivel de programacion, pero como no tengo tantos conocimientos sobre seguridad en sql server, quisiera que me den algunos consejos y de paso les tiro algo de informacion asi me pueden dar una mano.

Info:
Todas las tablas tienen de owner a "dbo" yo me pregunto es recomendable esto? o deberia cambiarle el owner a las tablas por otro usuario que no tenga tantos atributos.

Los atributos de dbo son:
public
db_owner

me fije en permisos y tiene todos los permisos para todas las tablas

Tengo otro usuario propio pero solo sirve para conectarse a la base de datos mediante odbc u oledb provider, solo sirve para el script de la cadena de conexion nada mas.

ME pregunto yo, deberia ser este usuario el owner de todas las tablas que se utilizen en el sitio web? que permisos deberia asignarle para que sea lo mas seguro posible.

Espero me puedan dar una mano, desde muchas gracias.