аааа.... квест ты бы не прошел =) там небыло уязвимости, хотя фильтр был такой =)

ты тоже непонял чуток =)
if (!preg_match("/^[A-Za-z0-9_] я бы поставил при регистрации, чтобы разрешить юзерам имена только из букв, цыфр и нижнего подчёркивания. Это неимеет отношения к фильтрации запроса в БД =)