1) глобальный $_REQUEST для начала бы глянул, чтобы избавиться от лишнего цикла.
2) нет проверки на пустоту массива, что влечет выводу предупреждения.
3) устаревшая функция, что тоже влечет к предупреждению.
4)
Попытка взлома будет бессмысленной, если программист нормально обрабатывает полученные данные перед запросом и следовательно этот код будет только лишний раз грузить апач, а если такого мусора с предупреждениями и лишними циклами будет много, то сайт будет тормозить как не знаю кто.

eregi???

eregi???
What to Fuck?