Muracha, SQL-инъекция в пределах этого кода в настоящее время не эксплуатационна. Возможно наличие хранимой XSS, через неё зайти реально.