En realidad, es probable que la inyección de sql no borre su base de datos porque requiere el apilamiento de consultas. Mysql_query() de PHP solo aceptará 1 consulta a la vez. Sospecho que has leído algo sobre M $ -SQL, que es una bestia muy diferente. Usted sabría esto si ha intentado explotar una vulnerabilidad de inyección sql.
Es absolutamente imposible para comprender completamente la seguridad hasta que haya escrito un exploit. Es imposible probar cualquier parche sin intentar explotarlo. Es imposible probar que algo sea seguro a menos que hayas intentado romperlo. Pensando que usted sabe lo que es seguro es mucho más dañino que alguien que sabe que no sabe.
Entonces, ¿cómo explotan los hackers el software? Lo primero que hará un hacker es probar vulnerabilidades en el objetivo. Asegúrese de ejecutar la herramienta de prueba como Acunetix's free xss tester o mejor aún una prueba completa como Wapiti. Asegúrese de que su configuración de php esté bloqueada con PHPSecInfo. Y de familiarizarse con el OWASP top 10.
Consulte esta pregunta relacionada: [** PHP tutorial que es consciente de la seguridad, la precisión y la mantenibilidad? **] (http://stackoverflow.com/questions/2119083/php-tutorial-that-is- seguridad-precisión-y-mantenimiento-consciente) tiene una serie de buenos enlaces y sugerencias. –