No sólo de caracteres especiales se puede hacer una inyección sql, imagina que haces algo como:

"select * from mi_tabla where id=$id"

Y en $id alguien coloca algo como: "3 or 1=1"

tu consulta quedaría como

"select * from mi_tabla where id=3 or 1=1"

También es importante manejar las comillas simples o apostrofes para cuando consultas o insertas datos.