le faltan muchas cosas. Es bastante vulnerable el codigo.

Te suguiero que busques la clase input.filter ya que un ataque facilmente te puede reemplazar el valor de la variable $tofilter, y tambpoco previene el ataque SQLInjection.

Yo particularmente customice esta clase:

http://www.phpclasses.org/package/2189-PHP-Filter-out-unwanted-PHP-Javascript-HTML-tags-.html

Pero ya de por si sola es bastante buena.

Podes aprender como funciona aca:

http://blog.unijimpe.net/prevenir-ataques-xss-con-php/

Espero haberte ayudado.

Saludos