Насколько я вижу, да. Хотя мб я что-то путаю, у меня не было никакого опыта с РНР и инъекциями, кроме полученного сейчас в процессе чтения кода сайта. Самый основополагающий запрос (в том плане, что там была небольшая цепочка наследуемых классов) там в таком виде:

$result = @mysql_db_query($this -> name , $p_SQL), где 1й параметр - имя БД, а второй, соответственно, сама строка с запросом.

Кстати, изначально, судя по комментам, файл был создан в 2003 году, так что возможно это как-то может объяснить mysql_db_query вместо mysql_query (хотя, по правде говоря, я не знаю, в чем разница).

Если не сложно, могли бы пожалуйста написать пример входных значений FF и GG, чтобы сделать запрос к другой таблице и ее полям? А то каждая пробная попытка запроса отнимает много времени для того, чтобы создать необходимые условия для инъекции, и с моим нулевым опытом узнать методом проб и ошибок, как правильно задать входные значения для полного изменения запроса, это может занять вечность.