Ataques a BD MySQL

Buenas,
estoy diseñando una aplicación web y me gustaría saber si alguien puede cambiar los datos de tu base de datos, de otra forma que la inyección SQL?
Un saludo!

Hackeandote el host, con simple SQL lo puede ahcer cualquiera...
A nivel de sql-injection, la cosa pasa por asegurar que nada peuda psar. Existen recursos y métodos para hacer invulnerable la base.
Pero si alguien puede acceder al server de MySQL... bueno, esos son otros temas de seguridad diferentes, y que no se controlan por el DBMS o la aplciación.

Ah vale,
pero yo me refiero a nivel de aplicación.
Tu te refieres si hackea el servidor donde implante la base de datos no?

Exacto.
Por más que asegures la aplicación, si dejas vulnerable el host, está todo terminado...

Vale!
pero en caso de que mi aplicación y mi BD la suba a un servidor de una compañía contratada, será será la responsable de dichos ataques no?

En el host, lso responsables son los administradores.
En la aplicación, suele ser conveniente que la capa de acceso a datos no use consultas, sino sólo acceda a la base por medio de stored procedures.
En el caso de usar consultas, sólo a travez de parametrizaciones, y nunca construir queries en forma dinámica.

No he entendido nada... lo siento.. podrias explicarmelo mejor?

¿Exactamente qué es lo que te confunde? ¿Lo de los stored procedure, lo de las parametrizaciones, o la seguridad de los host?

Yo mi aplicación he usado consultas a través de la api de php. Con respecto a la seguridad del host, te refieres a la del servidor?? Entonces quienes son los responsables?

Pues es mas o menos simple: Todo lo que tenga relación directa con la aplicación que tu mismo desarrollas es tema tuyo, incluyendo la vulnerabilidad de la base de datos para lo que se refiera a consultas.
El servicio de hosting, por su lado, es responsable de todo lo relacionado al WebServer y su protección, así como el servidor de MySQL para todo acceso no autorizado expresamente u originado en puntos de conexión que no pertenezcan a los clientes.
Esto último implica, entre otras cosas, que deben asegurar la autenticación de origen de las conexiones entrantes.
¿Se va entendiendo?

Las áreas de SI (Seguridad Informática) son de las más difíciles, y exigentes de todo sistema de hosting. Generalmente están atendidas por paranoicos que a cualquier cosa que le pides te responden "NO".
Y tienen razón...

Valee! A lo primero yo en mi aplicación realizo metodos como la función mysqli_string... , después uso sesion y contraseña con hash... esos metodos no?

Son algunos recursos útiles.
Personalmente prefiero asegurarme el acceso a la base por medio de stored procedures, que si bien son más complejos de desarrollar, tienen la ventaja de ser invulnerables al sql-injection.
Esto por al menos dos razones:
Por un lado, no puedes inyectarle SQL a una llamada de SP sin disparar un error de sintaxis, ya que sin saber su prototipo no sabrías dónde cortar la llamada.
Por otro lado, los parámetros de entrada encapsulan cualquier cosa que les metas dentro de las variables, por lo que internamente el SQL toma cualquier cosa inyectada en un parámetro como una cadena de texto inocua. Y si intentas meter algo que pueda cortar una query interna, se disparan errores de sintaxis en el SP.

En cuanto a la aplicación, prefiero usar librerías que bindeen las variables, y no construir el SQL puro como cadena de texto.