Site "exploited"/"hacked" pelo SQL PHP

Olá

Fiz um site e ao pôr online, depois de duas semanas ele foi "hackeado"/"exploited".

Uso MySQLI para me conectar pelo banco de dados e descobri que é só quando eu uso

"SELECT * FROM"

	e eu uso a variável, que o exploit se "instala".

	 

	Como no seguinte código:

$sql4 = mysqli_query($con, "SELECT * FROM ... WHERE ... != '1' ORDER BY RAND() LIMIT 1") or die(mysqli_error($con));
$ln4 = mysqli_fetch_assoc($sql4);
$teste = $ln4['teste'];

	 

	Quando eu coloco "echo" na variável $teste, o exploit "começa".

	 

	Mas se eu não me conectar com o banco de dados, o exploit não funciona.

	 

	Há como evitar isso?

	Não uso prepared statement, se eu usá-lo, não poderá mais ser hackeado?

	 

	Como posso eviar isso?

	 

	Conto com a ajuda de todos.

	 

	Desde já agradeço