Есть много способов взлома сайта, я напишу об основных:
1)Технология подлома базы (SQL-инъекция) - самая простая и достаточно распространенная технология, ее знают практически все кто знает SQL. Обезопаситься от нее можно легко и просто применив стандартную функцию PHP - mysql_real_escape_string() - данная функция полностью исключает SQL-инъекцию
2)Пробелы в строках- предполагается что пробелы в коде могут вызвать неправильные вычисление что и нужно хакеру. Защитить от них свой сайт можно применив функция вырезания пробелов trim()
3)Подмена COOKIES - технология COOKIES достаточна удобна, но стоит не забывать что все переменные массив $_COOKIES хранятся в браузере и их можно подменить (просто ввести вручную). Для защиты необходимо применять проверку (например проверять и логин и пароль а не толкьо логин). А можно воспользоваться сессией ($_SESSION) которая работает аналогично, но хранится на сервере, что полностью исключает подмену. Возможным недостатком $_SESSION может являться недостаточная функциональность, например сложность установки времени действия.