Die Userdaten sollen halt nicht einsehbar sein und es wäre schön wenn die Tabellen nicht geleert oder gelöscht werden.

wenn du die userdaten auf dem server speicherst und dem benutzer lediglich ein session-cookie gibtst, kann ein einzelner benutzer nichtmal seine eignen session-daten einsehen, wenn du das nicht willst

SQL-Injection weiß ich zumindest schon zu umgehen.

du sollst sie nicht umgehen sondern vorne herein verhindern :D