Смешно конечно там обнаруживается php include)

И слова не нужно вырезать и запрос блокировать, нужно допустим в каждом слове делать замену одну английскую букву на русскую например union заменить на uniоn

Если запрос не был злоумышленным, то в принципе смысл текста переданного не изменится, а если был, то надо просто записать в лог и отловить ошибку базы данных.

А вообще по фильтруемым переменным можно сказать скрипт похож на работу мод секьюрити, запрещает все необходимые символы и сидишь потом вручную правишь так чтобы прошло.