Es muy peligroso que usuarios sin apenas conocimientos de PHP cojan código, se pongan a modificarlo a diestro y siniestro y lo pongan en sus webs.

Que funcione no quiere decir que esté bien. Se pueden usar los agujeros de seguridad de los scripts, no sólo para hacer inyección de SQL, sino para atacar a otras web, o al servidor donde está alojada la página, y si éste está compartido podría afectar al resto de páginas alojadas en él.

No es trivial la seguridad en PHP. Está claro que siempre se parte de un estado en el que no se tienen conocimientos, pero yo no publicaría tan a la ligera un sistema en el que no se ha puesto especial enfasis en la seguridad, y menos si es totalmente funcional. Cualquiera puede coger éste código, subirlo a su web y exponerla a mil y un agujeros de seguridad.

No he léido el código, no he analizado cómo está diseñado e implementado, así que no puedo opinar sobre ello, puede que esté muy bien pensado y sea muy funcional, pero ante todo hay que arreglar los peligros de seguridad.

Un buen punto para empezar es una de las reglas de oro de PHP: Valida siempre todo lo que venga a través de POST y GET (y si hay otros métodos, también!), si una cadena no tiene que mostrar HTML, no permitas etiquetas, si va a ir a una consulta, escapala, etc...

Sé que es uno de los puntos más complicados (y aburridos), muchas fallas son dificiles de detectar, pero bajo mi punto de vista es más importante que un script no tenga fallos a que implemente toda la funcionalidad requerida.

Animo con ello.