con el codigo que muestras no es posible determinar si es vulnerable a ataques xss o sql injection, pero es vulnerable a otro tipo de ataque aun peor, porque se puede ejecutar codigo php arbitrario (gracias a eval)

una alternativa a lo que muestras, podria ser extract($_REQUEST);, pero ignoro las consecuencias que esto pueda acarrear en la aplicacion que tienes