student-uni1. Могли ли как-то слить данные через SQL запрос?Данные из базы - могли вполне. Тем же SELECT-ом. Хотя, конечно, сильно влияет, как вы данные выводите на страницу и прочих подробностей.
Не стоит недооценивать такие ситуации, можете считать, что вся база уже "утекла".
student-uni2. Что можно в дальнейшем напакостить зная схему БД, таблицу mysql user и число строк в каждой таблице всех баз данных?Зависит от подробностей. Наихудший вариант - произвольно модифицировать или удалить данные. Плохой вариант - занять все дисковое место, создать в массовых количествах дисковый ввод-вывод или нагрузку на CPU, что приведет к параличу сайта.
student-uniЧто больше всего удивляет - наверно и таблицу протокола доступа видели - да не стерли свое присутствие. Или не видели?Не факт, что это были живые люди. Возможно, это были тупые скрипты, которые натравливают на весь интернет в цикле, чтобы найти "интересные" места для работы более интеллектуальных скриптов или для ручной работы.