Me parece que la funcion esta muy bien programada.
Pero por otro lado creo que la cantidad de caracteres ilegales es demasiada y atenta con el contenido que la gente pudiera intentar subir a la basa de datos.

Tanto como select,update,delete,etc son palabras que cualquiera pudiera usar.
Ahora bien, si lo estas usando para un LOGIN, me parece muy acertado. De todas maneras, todo esto del SQL inyection se ve muy aminorado si se hace un buen tratamiento de los errores.
de esa manera se minimiza la informacion que pudiera entregar el servidor si es que este se cae en alguna ejecuccion.