в \sqli_low.php (самый легкий) никакой защити:
>> $id=$_GET['id'];
>>$getid="SELECT first_name, last_name FROM users WHERE user_id = '$id'";

в \sqli_med.php (средный) уже защита:
>> $id = mysql_real_escape_string($id);

в \sqli_high.php защита stripslashes и mysql_real_escape_string.

все уровни надо проходить по очереди.
пройди сначало \sqli_med.php.. попробуй-ка обойти mysql_real_escape_string