Ну, консенсус для лечения каких-либо данных, которые изменяемый пользователем как небезопасный ... Вот почему я хотел бы предложить
1) проверьте тип данных ... Если вы получите по электронной почте, используйте FILTER_VALIDATE_EMAIL, если вы ожидаете, число использования is_numeric, ...
2) очистить все входное, если это не переменное вы получили из надежного источника, который был ранее очищенным (например, данные, которые вы выборка из базы данных, и это было проверено и чистым, когда оно было введено)
3) начать использовать подготовленные заявления
4) заблокировать привилегии базы данных. Убедитесь, что введенный в файле конфигурации пользователя MySQL имеет только привилегии, он действительно должен выполнять свои задачи ... Если пользователь не нуждается "вставить" льготы по определенной таблице, убедитесь, что он не имеет эту привилегию ...

Я лично предлагаю вам просто извлечь эти данные из базы данных ... Открытие локальных файловых дескрипторов и с помощью системных вызовов всегда более рискованный (на мой взгляд). Злоумышленник может использовать эти дескрипторы файлов, чтобы написать код в файл, а затем выполнить его. Системные вызовы также вектор общих атак (кто не хотело трогать файлы, изменять их разрешения, кошачьи файлы, ...)
Вы можете также перепроверить владельцев этих PHP файлов и папок, а также разрешений на файл / папку ...

Вы можете поделиться URL, где установлен этот уязвимый скрипт? Я могу сделать быстрое сканирование уязвимостей, когда я возвращаюсь домой ... Это, как правило easyer работать таким образом, чем просматривать через ваш исходный код
Кроме того, accesslog со всего времени, когда вы были нарушены может быть интересной информации.

Еще раз: я действительно не копаться в ваш ... исходный код Вещи я сказал в этой должности являются только хорошими правилами домашнего хозяйства я сам использую при написании сценариев ... Возможно злоумышленник использовал совершенно иной вектор атаки