По какому принципу взламывают сайты хакеры?

90% взломов - это социальная инженерия: развести жертву, имеющую расширенный доступ у сайту, на нужные хакеру действия. И от этого защититься сложнее всего. Но для этого хакеру надо быть больше психологом, чем программистом.

Популярный способ - SQL-инъекции. Особенно в свете засилья "курсов" PHP, клепаемых откровенными неучами (начиная с платных курсов Евгения Попова).

Типичный код из таких "курсов":
$login = $_POST['login'];
$password = md5(md5($_POST['password']));
$query = mysql_query("SELECT * FROM users WHERE login='" .$login . "' AND '" . $password ."'")
взламывается начинающими хакерами за несколько секунд.

Лёгкость взлома сайта определяется уровнями знаний как автора сайта, так и хакера. Хочешь разобраться с тем, как защищаться и как взламывать - идёшь учиться в ВУЗ на "информационную безопасность".

Общего принципа нет. Есть куча направлений для атаки + элемент везения.
100% защиты не бывает и быть не может. Определяющий фактор это цена вопроса: если взлом в данный момент будет стоить дороже потенциальной выгоды от взлома, его делать не будут.
Хакеры учатся на практике. Почитай в википедии кто такой хакер. Хакер это профи в своей области. А чтобы стать профи нужно много практики

учатся они везде, где могут.

по многим - брут, sql-инъекция, труднее взломать те, у которых защита лучше, естественно. 100% защиты нет - всегда есть последний фактор - человеческий, учатся? бывает что нигде