Hace un par de días leía sobre esa función que estás usando, y sobre su vulnerabilidad. El ejemplo es este:
http://www.desarrolloweb.com/articulos/1326.php

Los mismos autores sacaron dos artículos más para explicar otras maneras de hacer lo mismo, siendo que el ejemplo básico es tan vulnerable como dejar register_globals on:
http://www.desarrolloweb.com/articulos/2332.php
http://www.desarrolloweb.com/articulos/2194.php