eso es precisamente a lo que me refiero: no sabes entonces nada de una inyección SQL

la clave para que una inyección se lleve a cabo es precisamente las comillas, si esos caracteres sencillos y otros pocos que sirven por lo general para encerrar valores literales, etc...

si dichos valores entre comillas no son escapados es entonces como se pueden producir ataques de inyección SQL.... y no es necesario eliminar palabras a lo absurdo...

el punto es el siguiente, aunque elimines palabras con determinadas instrucciones si no consigues escapar bien los valores literales y comillas aún pueden cometer ataques... o no precisamente ataques, también problemas de sintaxis SQL, etc...

esto no es un ataque de SQL:


¿que pasaría si eliminas las palabras and y or?

bueno, en primer lugar no evitas ningún ataque... pues inicialmente no existe, pero si eliminarías información valiosa del usuario... solo porque no eres capaz de comprender y sanar un problema no tienes porque eliminar deliberadamente los datos de la entrada del usuario...

en fin, es un tema complicado de explicar aquí... pero te invito a que investigues mas al respecto, y sobre todo que reflexiones... no te dejes llevar por lo que "crees" correcto, debes asegurarte de hacer lo correcto!!