Ich möchte dieses Programm nun noch Wasserdicht machen vor Angriffen die dem system schaden könnten.

Mit PHP?   ;) (http://www.golem.de/0612/49448.html http://blog.php-security.org/ sehr empfehlenswert)

Wenn zB ein erfahrener angestellter kenntise von PHP HTML und co besitzt, könnte er das system derzeit über die adresszeile manipulieren indem er Variablen ersetzt und dann den Link per Hand absendet.. das ergebnis kann ins Nirvana führen oder fehlerhafte mysql einträge erzeugen die weiderrum andere fehler bei anderen nutzern hervorrufen könnte...

Das riecht mir aber stark nach Programmierfehlern, wenn sowas geht. Du hast doch hoffentlich ein berechtigungssystem, SSL und so am Start?

gibt es eine checkliste für so was?

sicheres PHP + sicheren Datenzugriff (SQL Injection) + Rechtesystem + SSL

da gibt es doch bestimmt noch andere möglichkeiten wie zb das man über ein selbst gebasteltes HTML-Tool mit JavaScript auf ein HTML-Formular im Programm bezug nimmt und es um einen dropdown eintrag erweitert etc und dann irgendwelchen unsinn damit zu erziehlen?!
mit getelementbyid oder so?

oder mache ich mir zu viel gedanken?

Vielleicht, wenn der Krempel im LAN (oder VPN oder so) läuft, dann ja. Im LAN ist (fast) jede Schweinerei erlaubt.   ;)