Я видел эту строку в подпрограмме anti-sql-инъекции, так в чем ее смысл?
ereg_replace('(%)', '\\\1', $str);
Он выходит за пределы знака процента, заменяя % на \%. В PHP есть лучшие способы экранирования символов, а именно addcslashes:
%
\%
addcslashes
addcslashes($str, '%');`
Также обратите внимание, что семейство функций ereg устарело в пользу их preg-эквивалентов.