Inyección SQL (No entiendo)

Hola.
Tengo un sitio (un periódico) que fue atacado. El intruso modificó algunas tablas y publicó una noticia. Es como si hubiera accedido al panel administrador donde se cargan las noticias.

Estuve leyendo sobre inyección SQL y mi servidor tiene activado el magic quotes, ¿qué tengo que hacer entonces para evitar que ocurra esto?

Ahora lo que hice fue cambiar todas las claves de acceso (que incluso la del panel de administración está cifrada con md5), pero por lo visto no es suficiente.

Muchas gracias.

las contraseñas tienen que ser muy largas, atipicas y con carácteres especiales para que un cracker en md5 no las decodifique.

Por cierto: "Esta opción ha sido declarada OBSOLETA desde PHP 5.3.0. Su uso está totalmente desaconsejado." segun php.net...

por si te sirve...

http://www.clubdesarrolladores.com/articulos/mostrar/101-desactivar-magic-quotes-usando-htaccess

Muchas gracias.

Puede ser q se deba a la forma de realizar las consultas y a la extension especifica q la aplicacion use para conectar mysql y php, las extensiones antiguas como "mysql" no proporcionan defensa contra los ataques de inyeccion sql, en cambio otras extensiones como mysqli y PDO hacen uso de consultas preparadas q entre otras cosas son mucho mas seguras contra ese tipo de ataques.

Para evitar inyecciones SQL tienes que validar todas las consultas que envíes al servidor de base de datos. La función mysql_real_escape_string es una buena opción, por desgracia la documentación solo esta en inglés.

Voy a buscar "documentación fresca" sobre php-mysql. Evidentemente me quedé en el tiempo. Muchas gracias.