вот Вы сами логически подумайте, как можно через БД залить js файл? да еще если и права на папки не разрешают заливать а только просмотр?
а на счет БД
Могли залить ифрейм зная бд другого сайта ?
только в том случаи если у Вас на обеих сайтах одинаковые логин и пароль БД, и при том что тот взломщик это знал! иначе просто пробовать по всем сайтах один и тот логин и пароль подставлять что бы ломануть это тупо.