вопрос в догонку

надо ли искать пути расшифровки хешей или пойти в лоб и сделать замену пароля - ведь по логике если инжект дал вытащить данные то он может при сноровке их и поменять?