seguridad en mi pagina web

mi pregunta basicamente es que debo tener en cuenta para que mi web tenga seguridad;

desarrolle un sitio en php , el cual tambien utiliza base de datos para almacenar difernetes datos como cuentas de suscriptores a newsletter, publicaciones de la pagina y demas.
el tema es q hace ya algunos dias vengo recibiendo mails de una persona q es
"consultor en seguridad informática" , diciendome q mi web tiene serios problemas de seguridad, que el mismo puede acceder a la misma y a su base de datos, y me lo comprueba generando un archivo en el servidor, donde me muestra algunos datos de la base!

me gustaria saber a que darle bola a la hora de pensar en seguridad, si bien la pagina no almacena datos importantes , me gustaria que esto no pase.

como ya les dije, uso php, formularios, base de datos.

gracias a todo el foro!

Los mas seguro es que se trate de SQL Injection, desduzco que las variables no las pasas por ningun filtro y pasan tal cual, lo cual es grave, tambien si realizas includes dinamicos a travez de variables GET puede que sea un problema, trata de usar $_POST y $_GET dependiendo, sobre todo si es en consultas a la base de datos.

Saludos.