config.php

<?php

$host = "mysql120.phy.?????";
$username = "LAA0844???";
$password = "??????";
$dbname = "LAA0844?????????";

$mysqli = new mysqli($host, $username, $password, $dbname);
$mysqli->set_charset("utf8");

if ($mysqli->connect_error) {
	error_log($mysqli->connect_error);
	exit;
}

index.php

<?php
ob_start();
include('config.php');
?>

<?php
$query = "SELECT  `id` ,  `product_vote` ,`product_name`,`name`, (

SELECT COUNT( * ) +1
FROM products AS t2
WHERE t2.`product_vote` > t1.`product_vote`
) AS rank
FROM products AS t1
WHERE  `id` ORDER BY Rand()  LIMIT 2 ";

$result = $mysqli->query($query);
while ($row = $result->fetch_assoc()) {
	$id = $row['id'];
	$product_name = $row['product_name'];
	$product_vote = $row['product_vote'];
	$name = $row['name'];
       $rank=$row['rank'];
     $anime=$row['anime'];

?>

上のようなコードでデータベースに接続してるのですが、最近誰かにデータベースの数字をいじられます。プログラミングを初めて一か月でセキュリティ対策などがわからないのですが、このままだと困るので具体的にできる対策を教えて欲しいです。