1d37r, ну то, что не работает хакер вряд ли использует... Кода я не видел, поэтому не знаю как передаётся этот хеш скриптам, и что фильтруется... Если параметр, в котором передаётся хеш уязвим к SQL-Injection, то можно провести атаку. Настчёт исправления опять же... Ты смотрел - эта таблица, из которой идёт выборка есть?