Deine tolle Seite hat (zumindest wenn magic_quotes_gpc aus ist) SQLInjections. Ich brauche nur
Code: 
', (SELECT `masterpass` AS fubar FROM `dfp_config`), MD5('test')) #
als Faker einzutrage und schon habe ich deinen Masterpassworthash (Ein Glück, dass dein Hoster magic_quotes aktiviert hat) - und denn kann man bei einigermaßen simplen Passwörtern leicht knacken. Das du die MySQL Fehler freundlicherweise ausgibst, erleichtert natürlich das Debuggen von solchen SQLInjections

Dein Code ist unlesbar und ziemlich eklig. Immerhin benutzt du Templates, auch wenn deine Methode ziemlich unsauber ist. Du hättest ja wenigstens den Kram mit dem eval() in eine eigene Funktion auslagern können. Außerdem ist die Hälfte deines HTML Codes dann doch statisch eingebunden.

Ansonsten hast du aber einige mögliche Sicherheitslücken bereits ausgeschlossen (die meisten Sachen werden ja auch vor dem Einsetzen in eine Query sicher gemacht). Auch die Sprachenunterstützung finde ich gut, auch wenn sie ein wenig statisch eingebunden ist

Bis auf die fehlenden Zeilenumbrüche und Einrückungen und die zu langen Zeilen ist dein Code aber auf jeden Fall besser als viele andere Sachen, die ich gesehen habe. Verbesser die paar Punkte und mir gefällt's