Datenbank wurde gelöscht.

Ein Provider der keine backups seiner Server macht, ist ein Provider den man meiden sollte... 1&1 ist bekannt für totale Datenverluste, ist ein Schlamperladen sondergleichen und der Support ist unter aller Sau. Keinen müden Euro würde ich dem Verein spenden
Geh zu Hosteurope, da hast du super Support, jeden Tag Autobackup von allem was auf den Servern ist, ein Anruf und das Backup des letzen Tages ist für 10 Euro innerhalt von 30 sekunden eingespielt. Und das Ganze zu 30% des Preises von diesen Cutthroads

Nicht dass ich Werbung für HE machen wollte, aber ich weiß was gut ist

Also, für häufige Datenverluste ist mir 1&1 nicht bekannt. Für wenig kompetenten Support schon eher (jedenfalls meine Erfahrung). Wenn jemand unsichere Scripts hat und selbst keine Backups anlegt... naja, was soll man da sagen?

Warum nicht einfach ein
in die Crontab und jeden Tag einmal laufen lassen. Möglichst ab und zu auch mal runterladen oder gleich über Cron zippen und als Email verschicken wenns nur ein paar MB sind (damit wird auch der gmail-account irgendwann voll).

Also zuersteinmal sollte 1und1 auf jeden Fall ein Backup von deinen Daten haben. Ein Webhoster der keine Sicherheitsupdates macht ist meiner Meinung ein sehr schlechter. Schau doch mal in deinen Webhostingvertrag ob dies dort geregelt ist. Wenn nicht Webhoster wechseln.

Bzgl. der Sicherheit gibts (leider) sehr viel zu beachten. Such mal im Gockel nach Sichere Programmierung mit PHP.

Du musst alle Daten die deine Seite entgegennimmt prüfen, bevor du sie weiter verarbeitest. Für die Datenbank heißt dass das Du erstens deine Formularfelder auf bestimmte Zeichen einschränken solltest und Zeichen verbietest die nicht erforderlich sind. Außerdem solltest Du alle Userdaten durch addslashes() laufen lassen, bevor du sie in die DB schreibst, damit niemand mit deiner DB spielen kann. Ansonnsten ist es, wie du bereits spüren musstest, möglich einen Befehl in mit einzubauen der deine Datenbank manipulieren kann. Ach ja, du solltest schleunigst, wenn nicht schon geschehen alle Passwörter und evtl. die DB-User abändern da diese bereits dem Angreifer bekannt sein könnte. Daraus resultiert dann vielleicht das du nächste Woche alles wieder machen darfst.

Vielleicht findest du im Netz eine Klasse die dir die Prüfungen erleichtert. Solltest du unter parse oder parsen suchen. Diese musst du dann dort einsetzen wo deine Daten geprüft und in die Datenbank geschrieben werden (natürlich vorher). Wenn du alle Daten vor dem Schreiben in die DB prüfst, sollte dir sowas nicht mehr (so schnell) passieren.

edit!
Was mir noch eingefallen ist. Viel schlimmer ist es das der Einbrecher wenn er jetzt deine Login-Daten besitzt, deine Daten manipulieren könnte, was du vielleicht nicht mal merkst. Und nochwas: Du solltest einen DB-User einrichten (lassen), welcher nur eingeschränkte Rechte besitzt und alle Zugriffe auf die DB über diesen User organisieren. Das kannst du schnell umsetzen und dann wären schonmal die Dinge die du eingeschränkt hast (wie löschen der DB) nicht mehr ohne weiteres möglich. Dann könntest du dir mit dem checken der Formulardaten etwas mehr Zeit lassen ohne weiterhin ein großes Risiko einzugehen. Aber ob 1und1 das für dich macht ist fraglich. Wenn nicht, es gibt ja noch andere Webhoster.

Damit hast du jetzt die Möglichkeit dein Risiko schnell und mit minimalem Aufwand einzugrenzen. Und das kann ich dir nur wärmstens ans Herz legen.
edit!

Hoffe Dir ein wenig geholfen zu haben.

lg
winformatiker

1und1 hat schon backups, wenn es kein rootserver ist und um Datenbank manipulation zu vermeiden sollte man sich mal mit sql-injection vertraut machen, dazu gibt es auch eine Seite auf php.net.