A me invece è capitato di avere uno script malevolo simile nella homepage di un vecchio sito.
Questo significa che l'hacker non è entrato dalla form, per il semplice motivo che comunque la root del sito non aveva i permessi di scrittura per modificare scrivere codice direttamente dentro.
Non sono un hacker, quindi posso sbagliarmi, però per quei casi penso che chi forza il sito lo fa con altri metodi.

Il delete di una tabella invece è esempio classico di SQL Injection, per cui li si che si ha la certezza che si necessita di un solido controllo degli input.