それよりもほとんどのphpが404な状況からパスがわかって
外部から侵入された可能性の方が高いかと。
SQLも誰かが違法に覗いてみればどういう状態かわかることですが