Pashkela взглянул на ссылку и сказал, что инъекцию произвести нельзя, поскольку невозможно повлиять на исходный запрос и что это вовсе не SQL-inj, а просто ошибка запроса, хотя мне так не кажется...

Пробую дописать в UPDATE не существующее поле:
http://site.com/index.php?func=who',user1='user
на что получаю соответствующую ошибку, что поле не существует.

меняю имя поля на существующее:
http://site.com/index.php?func=who',user='user
и всё ок, запрос успешно выполнен, ошибок нет.

Проблема осталась, мне надо закомментировать условие WHERE, либо каким-нибудь образом выполнить SELECT или дополнительный UPDATE.