mi pregunta basicamente es que debo tener en cuenta para que mi web tenga seguridad;

desarrolle un sitio en php , el cual tambien utiliza base de datos para almacenar difernetes datos como cuentas de suscriptores a newsletter, publicaciones de la pagina y demas.
el tema es q hace ya algunos dias vengo recibiendo mails de una persona q es
"consultor en seguridad informática" , diciendome q mi web tiene serios problemas de seguridad, que el mismo puede acceder a la misma y a su base de datos, y me lo comprueba generando un archivo en el servidor, donde me muestra algunos datos de la base!

me gustaria saber a que darle bola a la hora de pensar en seguridad, si bien la pagina no almacena datos importantes , me gustaria que esto no pase.

como ya les dije, uso php, formularios, base de datos.

gracias a todo el foro!