Varios apuntes, lo que te habla @webankenovi es de sql inyection, una técnica para vulnerar las base de datos, de la manera como tienes actualmente todo estructurado es fácil para alguien con conocimientos en esta técnica sacar toda la información, eliminar datos y hacer lo que quiera.

Ahora bien, se te recomienda que en vez de usar las funciones de mysql_* que ya están obsoletas y actualmente las considero muy inseguras, se use algo como PDO o mysqli que te ofrecen las herramientas para luchar con algunas de estas técnicas y volver más segura la aplicación.

Entonces, yo recomendaría que primero migres tu aplicación a PDO o mysqli (ya que por lo que veo está siendo atacada actualmente) y después te empieces a informar de los distintos métodos para hackear (aquí en foros del web este tema te será de interés), de esta manera creo que seria la mas efectiva para solucionar tus problemas.

Saludos