やったこと。
[1]大事なファイルをインクルードファイルにしてドキュメントルートの上に置く。
[2].htaccessでいくつかの拡張子を deny from allに。
[3]indexファイルが無い場合の挙動を拒否に。レンサバの仕様か、htaccessで設定しようとしたら500が出る。レンサバのファイルマネージャーから設定できた。
[4]※.htaccess クリックジャッキング対策。「Header set X-FRAME-OPTIONS "DENY"」追記したら500に。どうやらレンサバの仕様でOPTIONSの記述がNGなようだった。
ということで、HTMLにメタタグで記述。

<meta http-equiv="X-FRAME-OPTIONS" content="DENY" />

[5]CSRF対策。これはhttp://ss.hamachiya.com/easy_csrf/　が便利そうなので拝借。取り急ぎ一部だけ導入。あとはゆっくり全部やっていく。
[6]いくつかの設定項目や関数をまとめて外部ファイルに。

これからやること

1. 共通項目を外部ファイル化⇒進める
2. エスケープ処理の関数化と地道なエスケープ作業
3. SQLのPDOへの書き直し