sunucuya giren kişi sql injection'dan girmemiştir büyük ihtimal. Sunucu'na dosya yükletmiş ya da sunucu ya bir şekilde girmiş. file_get_contents ile .txt dosyasını neden çağırmaya çalışmış anlamadım.