В большинстве примеров внедрения SQL используется полезная нагрузка ;DROP TABLE students, которая даже не используется во многих программных установках. Это всего лишь пример.
Вы делаете очень распространенную ошибку, путая инъекцию ( возможность для вставки нежелательного кода в запрос SQL) с помощью эксплойта ( фактическая полезная нагрузка для инъекции с помощью цель взлома системы).
Это два совершенно разных вопроса.
Итак, инъекция - это просто возможность. И это не имеет отношения к любым символам. Как только инъекция произойдет, возможно бесконечное число эксплойтов, все зависит от ситуации. Некоторым из них понадобится что угодно, кроме символов 'и \, а некоторым они понадобятся.
Что вы можете сделать из приведенных выше утверждений? Надо защищать от уколов, а не от подвигов. Борьба с персонажами - проигрышная игра. Бороться с возможностью.
Если приложение не защищено от инъекций, оно будет взломано тем или иным способом с использованием того или иного символа. Но как только он защищен, он защищен от всех подвигов одновременно, независимо от того, какой персонаж используется.