Buenas a todos los desarrolladores, tengo relativamente poco en esto de las paginas web en Php (lenguajes dinamicos) pero aun asi me avente a un trabajo como tal.

AHora, he aqui el detalle, quisiera saber de que maneras una persona no deseada pueda entrar a un administrador de un sitio web (hecho php) y comenzar a insertar codigos malisiosos. Tengo una web de noticias y hoy en la mañana una persona desconocida insertó un codigo que hacia una redirección a otro sitio web (que para acabarla de molar es enemigo nuestro) y pues, mi pregunta es la siguiente ya concretamente: Existe una forma de poder violar una seguridad y poder realizar esto?,

Uso un sistema de seguridad de sesiones muy al estilo del que mencionan en un ejemplo de sesiones de aqui, que incluso si no se hace ningun cambio a las noticias durante cierto tiempo, este se cierra automaticamente.

Podría ser que la unica persona que pudo haber hecho esto sería un tipo que conozca las claves de usuario y contraseña para entrar? Saludos.

Les dejo mi script por que me pudieron decir que podia ser un "hoyo" o un detalle que no me haya fijado al crear el script

Este es el codigo del administrador para el login:

<?php require_once('../Connections/conEnLinea.php'); ?>
<?php
// *** Start the session
session_start();
// *** Validate request to log in to this site.
$FF_LoginAction = $HTTP_SERVER_VARS['PHP_SELF'];
if (isset($HTTP_SERVER_VARS['QUERY_STRING']) && $HTTP_SERVER_VARS['QUERY_STRING']!="") $FF_LoginAction .= "?".$HTTP_SERVER_VARS['QUERY_STRING'];
if (isset($HTTP_POST_VARS['txtUsr'])) {
$FF_valUsername=$HTTP_POST_VARS['txtUsr'];
$FF_valPassword=$HTTP_POST_VARS['txtPass'];
$FF_fldUserAuthorization="usr_Tipo";
$FF_redirectLoginSuccess="index.php";
$FF_redirectLoginFailed="login.php";
$FF_rsUser_Source="SELECT usr_Login, usr_Pass ";
if ($FF_fldUserAuthorization != "") $FF_rsUser_Source .= "," . $FF_fldUserAuthorization;
$FF_rsUser_Source .= " FROM tabusr WHERE usr_Login='" . $FF_valUsername . "' AND usr_Pass='" . $FF_valPassword . "'";
mysql_select_db($database_conEnLinea, $conEnLinea);
$FF_rsUser=mysql_query($FF_rsUser_Source, $conEnLinea) or die(mysql_error());
$row_FF_rsUser = mysql_fetch_assoc($FF_rsUser);
if(mysql_num_rows($FF_rsUser) > 0) {
// username and password match - this is a valid user
$MM_Username=$FF_valUsername;
session_register("MM_Username");
if ($FF_fldUserAuthorization != "") {
$MM_UserAuthorization=$row_FF_rsUser[$FF_fldUserAuthorization];
} else {
$MM_UserAuthorization="";
}
session_register("MM_UserAuthorization");
if (isset($accessdenied) && false) {
$FF_redirectLoginSuccess = $accessdenied;
}
mysql_free_result($FF_rsUser);
session_register("FF_login_failed");
$FF_login_failed = false;
header ("Location: $FF_redirectLoginSuccess");
exit;
}
mysql_free_result($FF_rsUser);
session_register("FF_login_failed");
$FF_login_failed = true;
header ("Location: $FF_redirectLoginFailed");
exit;
}
?>
<html><!-- InstanceBegin template="/Templates/enlinea_Admin.dwt.php" codeOutsideHTMLIsLocked="false" -->
<head>
<!-- InstanceBeginEditable name="doctitle" -->
<title>Untitled Document</title>
<!-- InstanceEndEditable -->
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<!-- InstanceBeginEditable name="head" --><!-- InstanceEndEditable -->

<script language="javascript">
function abrir_ventana(){
window.open("../fotos/uploadphoto.php" , "Subir Fotos" , "fullscreen=0 , toolbar=0 , location=0 , status=1 , menubar=0 , scrollbars=0 , resizable=0 , width=500 , height=500" , false);
}
</script>
</head>