Cattive notizie, non puoi fare molto!
Puoi mai fidarti di un utente, dei suoi input o di qualsiasi altra cosa su di loro. Il massimo che puoi fidarti è che stanno usando il tuo servizio. Anche allora non puoi sempre fidarti del fatto che non vengano impersonati.
Per sicurezza del sito c'è la gamma dei soliti sospetti (usa SSL e assicurati di ottenere un buon voto su ssllabs, input igienico, accesso sicuro SSH e accesso amministrativo a specifici IP statici, così avanti e avanti all'infinito e oltre, una domanda troppo ampia per rispondere a questa domanda), tuttavia è impossibile aumentare la sicurezza dell'utente sulla propria estremità. Non puoi costringere un utente a fare nulla, quindi il meglio che puoi fare è rendere il tuo sito e il tuo database il più sicuro possibile.
In realtà il massimo che puoi fare per un utente è applicare password complesse. Anche allora potrebbero tentare di aggirarlo.