se você esta desenvolvendo ele, a melhor coisa que eu posso te recomendar é implementar testes automatizados, o teste não é garantia de segurança, mas te faz ser um dev mais cuidadoso... a Esmagadora maioria dos problemas de segurança que os projetos que eu tive envolvido seriam resolvidos por testes automatizados.

se vc não esta usando um framework... Francamente, Por que? o Que vc esta fazendo exatamente? novamente , um framework não é garantia de segurança, mas 99% dos problemas de segurança  que vc pode ter vão ser tratados usando as facilidades de um framework

mas se vc quiser ir atrás de estudar  sobre segurança e aplicar desde o inicio, um bom lugar pra começar é com o owasp top 10

Estou usando o framework YII, não sei se é bom para esse tipo de projeto. E obrigado pelas dicas!!

se você esta desenvolvendo ele, a melhor coisa que eu posso te recomendar é implementar testes automatizados, o teste não é garantia de segurança, mas te faz ser um dev mais cuidadoso......