mod_security
php safe mode
suexec

Если все запросы, к базе данных, на сайте написаны на хранимых процедурах, то такой сайт неподвержен атаке sql-injection. Можно даже не экранировать слеши и другие специальные символы. Тем более, что MySQL 5.1 их поддерживает.
Если речь идёт о серьёзном сайте, то необходимо использовать, как минимум, VPS хостинг.
Корректно выставить права на папки. Там, где нужно только чтение, оставить только чтение.
В директории htdocs  оставить файлы вида
<?php
require_once('../inc/file.php');  
?>
При этом все скрипты должны находиться в директории ../inc, которая не будет напрямую доступна из браузера, даже если слетят настройки apache.
Обязательно отключить все ненужные модули и функции в apache, php, perl.