Para comenzar lee de nuevo el código y revisa con más detalle qué datos recibe, como los procesa y almacena esta pequeña aplicación web, el fallo está en uno de esos scripts php.
Les recomiendo que realicen pruebas en sus equipos y cuando estén seguros de lo que están haciendo intenten vulnerar
http://retoyashira.phpnet.us para conseguir el password de "Mis Notas", solo tienen que tener instalado un servidor http como apache, con php y mysql como gestor de BD. Si necesitan la estructura de la BD la puedo publicar, aunque si leen bien el código ustedes mismos podrán reconstruirla.
PD: No creo que un scanner de vulnerabilidades les sirva de algo.
Saludos.