Экспериментировать нечего. php-inj они покрыли, а sql-inj тут нет. Переменная $r фильтруется на кавычку, и обособляется в запросе. Это не обойти.