Auch wenn es nur eine interne Seite ist, dir ist klar dass mit so einem Angriff u.U. die Daten komplett gelöscht werden können und zwar von allen Tabellen? Da das, soweit ich sehe, ein Schulprojekt ist, würde ich so einen "Scherz" nicht ausschliessen.

Der Benutzer hat nur Zugriff auf zwei Tabellen.

Nein. der Benutzer hat, wenn die SQL Injection erfolgreich ist, den gleichen Zugriff wie das PHP Skript, also vermutlich auf die komplette DB und alle darin enthalteten Tabellen, evtl sogar noch mehr, je nachdem wie das bei dir konfiguriert ist. Er kann dann jeden x-beliebigen SQL Befehl ausführen (z.b. DROP TABLE)

Struppi.