Например CSRF популярная. А то что вы описали «сделано кое-что» может быть очень малым. SQL-inject имеет кучу разновидностей, были случаи когда через sql blind раскручивали очень крупные сайты. Поэтому советую изучить тематические сайты и статьи.
Кстати, зря. Это, пожалуй, единственный из недорогих способов. Остальные стоят, как чугунный мост (толстый L2 между площадками + BGP, например) и не всегда возможны, если расстояние большое.
Ни к чему все эти городульки с iptables, выглядит это как если бы вы сделали в доме окно, чтобы потом заколотить его досками. Подсказанная выше директива listen — наиболее правильный способ.
Тут сперва надо расчеты произвести.
Замерить время выполнения PHP-скрипта, перевести в секунды и умножить на кол-во рабочих PHP-процессов. Вы получите кол-во запросов, которые Ваша система сможет обслуживать в секунду. Зная кол-во запросов к PHP, генерируемых одним пользователем на Вашем проекте, Вы сможете вычислить предельно допустимое кол-во одновременных пользователей.
А из тулзов всем известный ab (Apache Benchmark). Еще очень интересен inject от создателя haproxy. В нем можно задавать сценарии поведения пользователей.
