No usaría en general la técnica que muestras .. por lo menos aplicada a $_REQUEST, .. fijate que contiene dicho array superglobal: todo lo que llega en GET, POST o sea una COOKIE, así que estás en los mismos problemas (no de XSS o inyección SQL en sí) que cuando PHP "sacó" o definió los arrays superglobales por separado: $_GET, $_POST .. etc para solventar esos problemas.

Si quieres convertir en variables simples lo que venga en cierto método .. hazlo, pero sólo de que NECESITES .. es decir .. aplica extract() a $_POST .. o a $_GET pero no también a $_COOKIE.

Realmente deberías acceder directametne a los arrays por separado y no en forma global ..´

Por lo demás los ataques "XSS" o de inyección SQL van en función del filtrado que hagas al dato que te llega.

Para eso caso de XSS .. aplicar striptags() o función equivalente para elminiar todo lo que esté entre <.... y ...> que es código HTML/Javacript/etc a ejecutar con fines "maliciosos". Para el caso de "inyección SQL" una de las primeras técnicas a usar es la de "escapar" todo caracter potencialmente peligroso para ejecutar tu consulta SQL a tu BBDD con ayuda de mysql_real_escape_string() o función equivalente (addslashes() ..)

Un saludo,