Bueno .. yo poco puedo aportar sobre "seguridad" en este caso .. no conozco el protocolo del IRC ... (con respecto al filtrado de los comandos "potencialmente peligrosos que existan...)
Con respectoa a tu BD .. podrias usar mysql_escape_string() para evitar algo el tema del "SQL inyection" en las variables que usas para componer tu sentencia SQL:
Código PHP:
if(mysql_num_rows(mysql_query("SELECT * FROM admins WHERE nick='".mysql_escape_string(strtolower($nick))."'"))==1) {
Así con todas las variables que acaben en un mysql_query(). No sea que llegue alguien con un nick que pudiera interpretarse como una sentencia SQL (mas o menos peligrosa).
Un saludo,