Injection SQL

[acip]

Salut !

Pour m’entraîner à réussir manuellement des injections SQL, j'ai codé un petit "blog" comportant volontairement une grosse faille.
Lorsque je demande un article : index.php?id=3 , la variable $_GET['id'] est insérée dans une requête SQL sans être traité. La requête n'est pas une requête préparée.
Pour communiquer avec la base de données, j'utilise PDO.

Bref, la faille est évidente. Mais malgré ça, je n'arrive pas à l'exploiter. Havij réussit très bien, mais mon but est d'exploiter la faille manuellement.

J'ai hébergé mes pages à cette adresse : acip.alwaysdata.net
Code source de index.php : pastebin.com/U6DrJ0Ad
Base de données : acip.alwaysdata.net/injectionsql.sql

J'effectue une requête telle que celle ci : index.php?id=1+UNION+DELETE+FROM+users+WHERE+users.id=2

Donc la requête SQL envoyée est celle ci : SELECT * FROM news WHERE id=1 UNION DELETE FROM users WHERE users.id=2

Mais, la ligne de la table "users" comportant l'id n°2 n'est pas supprimée. Idem pour toutes autres types de requêtes.
Je ne comprends pas pourquoi, il y a forcément quelque chose que je fais mal. Car Havij réussit.

Un peu d'aide serait bien venue.
Merci !

EDIT:
Table 'news' :


Table 'users' :