Observando los archivos te puedo decir que:
- Todos los archivos de entrada de datos son vulnerable a SQLi.
- No veo por que repetir las imágenes en cada directorio, fácilmente puedes usar "../" para volver atrás en la ruta.
- Mucho cuidado con los datos de entrada por HTTTP a las consultas.
- Con ver el logout.php y config.php ya se que dará error en session_start(); en hosting de pago (Ya sabrás por que...)
Saludos.