"el code de registro de usuarios es este " el código de registro de usuarios que muestras no es suficiente para saber si efectivamente cae en la vulnerabilidad del sql injection, a menos que tengas las variables globales en on, y no filtres las variables, en nick='$user' la variable $user podría ser utilizada para inyectar el sql.