Sì, potresti anche abilitare register_globals, però non lo farei. Altra cosa, il codice sia apertissimo per un SQL injection, basta che uno modifichi cartella.