Ese seria el problema se verian como que lo hicieron de manera legal pero bueno, lo que busco es prevenir este tipo de problemas a futuro, sabemos que la seguridad informatica no es perfecta ni nunca lo sera, pero mientras se pueda evitar esto de vez en cuando ya sirve de algo, gracias por tomarse el tiempo de responder.
en caso de que lo hicieran con bots no hay modo... puedes descbubrirlos colocando pruebas "inteligentes" por ejemplo, algo que se vea pero deba ser atravesado y cosas así, en caso de un ataque directo al servidor, depende especificamente de la configuracion y programacion del mismo, porque un error desde no cifrar los datos, hasta un hueco para inyeccion mysql no son una regla general