No veo vulnerabilidades ahí, pero va más allá de cifrar la contraseña y es más incómodo que simplemente usar mysql_real_escape_string... Sobre todo si se hace bien y el uso de la función queda dentro de una función de nivel más abstracto ;)