te2ji さんが書かれているように、要件の方が大事ですね。SQLインジェクションとかXSSの対策は、全ての機能に必要な対策であって、登録システムに特有の話ではありません。

以下は、私の書いた本からの抜き出しですが、te2jiさんの書かれているログの問題とかもありますね（ログは別の章に書いたので以下にはでてきません）。

ユーザ登録

• メールアドレスの受信確認
• ユーザIDの重複防止
• ユーザの自動登録への対処（任意）
• パスワードの要件チェック（もちろんユーザIDの要件チェックも）

パスワード変更

• 現在のパスワードを確認する（再認証）
• パスワード変更時にはメールでその旨を通知する

メールアドレス変更

• 新規メールアドレスに対する受信確認（前項参照）
• 再認証（前項参照）
• メール通知（前項参照）

パスワードリセット機能
※複雑なので省略

著名なウェブのサービスを使ってみて研究をされるとよいと思います。

アカウントのシステムならば、パスワードのハッシュ保存をしておくべきだと思われます。
というのも、入力されたパスワードを平文で保存している場合もしなんらかのタイミングでパスワードが流出した場合、ユーザーがパスワードを使いまわしている他のサービスも軒並みやられてしまいます。
しかしサルトを付けて一方向関数にぶち込んで保存しておけば元の平文は推測されないのである程度安全性が高まります。
もちろんパスワードを盗まれないのが最善ですけどねｗ

がると申します。
ベストアンサーがついた後の回答で恐縮ですが、よろしかったら参考程度、まで。

もしお仕事で作成をなさっているようであれば。法的な理由も含めて、IPAの
安全なウェブサイトの作り方
の中にある、
安全なウェブサイトの作り方
安全なSQLの呼び出し方
セキュリティ実装 チェックリスト
あたりをチェックされてみるのも、あるいは有益かもしれません。

以上、なにかの参考にでもなれば幸いです。

コーディングを気にするより先に、セキュリティ要件を整理することが必要です。

たとえば、
・登録内容はどういったもので、どのような制限を設けるか
・制限を違反した場合、どのような対応を取るか
・どういったログをとり、それをどのように利用するか
等々、要件をまず決めないと、システムとしてのセキュリティを考えることが出来ません。

セキュリティ要件が決定されてはじめて
・登録内容として数字だけとし、その制限をフロントとサーバサイドの両方でかける。
・違反者は10分間アクセスできなくする
・制限に引っ掛かった場合のみ、ip アドレスとアクションをセットでログとして残す。
といった設計ができるようになり、それをコードに落とすことが出来ます。

まずはどういった要件が必要か洗い出す必要があります。

あまり役には立ちませんが、以下のサイトで雰囲気をつかむことはできるかと思います。
セキュリティ要件確認支援ツールの公開

** 追記 **
記述した要件はどちらかと言うと要件から生まれる仕様に近いので適切ではなかったかも。
記述したかったのは、まず「要件ありき」でシステムを作らないと、良い方向のモノが出来ないということです。

わりかし、最近話題になった。ShellShockとかもですかね？OSコマンドインジェクションに近い物がありますけど。