Que tal, en este momento (el peor momento diria yo) mi programador PHP se encuentra de vacaciones y tengo el problema de que detectamos que se estan extrayendo contraseñas de uno de nuestros sitios.

Tenemos una tienda en línea (les diré cual es cuando resovamos esto) mediante la cual vendemos equipo de cómputo con entrega a domicilio y lamentablemente alguien obtuvo las contraseñas de algunos de nuestros usuarios y no me explico como pudo pasar, mediante el log del server, verifiqué un acceso raro mediante GET y al entrar a la ruta Oh sorpresa se muestran los datos de mis usuarios.

Ahondando más en el tema, tenemos la página principal sonde se muestran 7 categorias principales... hardware, software, etc... y al entrar se muestran las subcategorías... impresoras, mouse, etc nosotros llamamos a esas subcategorias al Mysql mediante URL con un ID de categoría es decir

categorias.php?id=1

y se despliegan las subcategorías, lo raro es que detecté un acceso de la siguiente manera

categorias.php?id=-1+union+all+select+1,group_concat(concat_ws(char(5 8),login_user%20,login_pass%20,login_level),0x0a), 3+from+publico_login--

alguien puede explicarme que carajo paso?? ya que el resultado en la página es que se muestran los datos de acceso de mis clientes de la siguiente manera:

usuario:password:1, otrousuario:password2, etc...

¿cómo puedo protegerme de esto?
Para los accesos a las bases de datos, cabe mencionar que utilizamos Dreamweaver. Me preocupa porque las tablas de categorías no tienen relacion alguna con las de login, y de igual manera como es que supieron los nombres de los campos de mi Mysql????

tengo conocimientos intermedios de PHP así que adelante, tiren a matar!!!

(PERDON POR EL TITULO: PHP estoy un tanto nervioso!)