mmm es que son varias opciones , no nada mas una inyeccion sql ¿como se sabe si no se accedio a un root de tu servidor?, ¿seguro no es un dato insertado de prueba?esos datos existen antes o despues de haber implementado el mysql_real_scape? ¿nadie mas conoce la contraseña del server?