В центре есть определенное количество компьютеров без пароля.
Снизьте это количество до 0. Для каждого учащегося заводим отдельную единую учетку (можете в сторону LDAP посмотреть) + свою маленькую песочницу. На счет sql инъекций - если это сайты вашего учреждения - режьте доступы по самое не балуйся. Если же чужие - как бы и хрен с ними, не ваша задача защищать весь интернет от школоло. Логгируйте активность.
Объявите конкурс: на обход защиты. При этом как и в реальности за раскрытие должны быть весомые плюшки, за скрытый взлом - весомые проблемы. Например:
* белый взлом - "отлично" автоматом
* черный взлом - "кол", без права пересдачи