tu te respondistes a ti mismo.. Busca formas de protegerte mediante Apache usando configuraciones standar de seguridad de APACHE. tu codigo se ve bien estructurado aunque te recomendaria poner en practica un consejo que escuche en algun lado y me resulto muy importante..

Muchos programadores se viven matandose la vida protegiendo lo que no quieren que les entre en su sitio web via Forms o consultas SQL, y siempre los hackean... sabes por que ?

"Sencillo..." Acepta solo lo que necesitas y mas nada..

ejemplo: si tienes campo de numeros solo acepta numeros no hagas funciones que filtren ';./,()(*&^%$#@ etc... solo ve que sean numeros y si no lo son niega el campo..


saludos.