la prima cosa che mi vien da pensare è che l'utente abbia ottenuto il nome della table da una qualche query che non fa il suo dovere e restiuisce magari errori dettagliati
quindi il tuo primo step è che tutte le variabili GET siano "pure" e che la query non possa processare quello che non interessa al db (es se è un int non può avvenire una query anche con un txt)
Poi se il tuo sito è un cms assicurati che sia aggiornato (compresi tutti gli eventuali moduli)