No. No basta. Depende lo que hagas con la información...

Por ejemplo. Si pillas un campo de nombre de usuario para consultar la tabla de usuarios, te la pueden meter doblada NO con código HTML, sino cerrando la consulta y abriendo otra:

pepe'; select * from latablaquesea blablabla

Y hay decenas mas de ejemplos... Siempre debes controlar EXACTAMENTE que caracteres deseas permitir, y no permitir ni uno más.

Tambien puedes usar un programa de rastreo de bugs en paginas para probar cada una de tus paginas...

Lo dicho. Respecto al problema actual... Cambia YA todas las contraseñas. Y revisa tu PC no vaya a estar jodido...