depende de que hackeo sea...
- si entra al servidor (ej: ssh o ftp), verá todo lo que tu puedas ver...
- si logra subir y ejecutar un .php (usualmente le llaman "shell") hecho por el igualmente...
- si logra una inyeccion SQL no, solo podrá ver/alterar el contenido de la base de datos *
- si logra inyectar un js, no
- un xss, no
- una publicidad maliciosa, no**
y en general son mas no, que si
aclaratoria:
* por eso es importante el usuario de la db que use el php limitarlo a por ejemplo solo hacer las 4 operaciones basicas, select/update/insert/delete, si el usuario sql tiene todas las opciones podrá incluso borrar tablas. si a demas es un usuario con los permisos de grant y execute (como es root), estamos entonces en el primer caso (entró al servidor ya que puede ejecutar comandos de consola)
** a menos que te robe la contraseña de administrador en el panel de login
Me quedo muy claro se agradece tu respuesta