jackson666 Muchas gracias, me funciono como queria con /\bselect\b/i , ah y la funcion mysql_real_escape_string() no es totalmente segura y ademas no me da los resultados que yo deseo.

pateketrueke Tienes mucha razon, sin embargo, debes saber que mi intencion no es eliminar esas palabras claves de las variables sino que a partir de la deteccion de intento de inyeccion pueda enviar un correo al webmaster, guardar en base de datos y banear al usuario o IP.
Es un sistema de auditoria de seguridad de una aplicacion Web.
Y eso de que se pueda pasar consulta SQL por medio de una variable no me parece para nada, incluso creo que cae en las malas practicas de un Programador, es como dejar una Inyeccion SQL con intencion, posibilitando al atacante realizar consultas sin impedimento alguno.

de todas maneras gracias por sus comentarios.
Saludos