Si estas sufriendo algún tipo de ataque yo te recomendaría que te fijes bien bajo que sircunstancias logra su cometido y tratar de hacerlo tu también de esta forma sabrás bien por donde vienen los ataques. De todas formas es medio difícil conseguir eso pero para ir poniendo manos a la obra te diría que cambies todas las variables globales y que uses las matrices superglobales ($_GET[]), y otra cosa "importante" (ya que a veces vienen por ese lado los ataques) es que inicialices toda las variables con algún valor, puede ser cero o nulo. Después también examina con mucho cuidado y paciencia las consultas a la DB y las variables que vienen de afuera como las inserta dentro. Si usas cookies para recordar a los usuarios también deberías revisarlo ya que hay muchos programas que modifican las cookies a tu antojo y si guardas alguna info en las cookies te recomendaría que lo encriptes con MD5 y le agregues un "saborizante", por ejemplo tu guardas la id del usuario en la cookie la encriptas con MD5 y nada mas, esto sigue siendo débil ya que el atacante puede poner cualquier numero encriptado en la cookie y probar si entra con algún usuario, para evitar esto debes ponerle al id del usuario una cadena que solo vos conozcas y recién lo encriptas y lo guardas ya que el atacante es imposible que acierte la cadena que vos le agregaste.

Hay algunos puntos más pero en estos momentos no se me ocurre ninguno.

Saludos y suerte.