从两个方面来讲吧，一个要做菜单权限控制，另外一个要做数据权限控制。
1.菜单权限控制，思路：用户==》判断当前角色==》判断当前角色的权限==》当前角色所对应的可视化菜单。
2.数据权限控制，是指通过API跟后台交换数据的时候，传递的敏感参数要做可逆化的加密操作。后台传给前台的敏感数据是可逆化加密的，前台需要查询的时候，将加密后的数据回传给后台，后台解密后进行查询处理。

没被破解。要是被破解的话后果比这严重多了。这是攻击者在尝试寻找你的数据库漏洞，目前应该没有造成什么后果。防范的方法是：如果需要拿用户输入的数据进行数据库操作，那么一定要先进行过滤和转义。