Buenas, he estado leyendo mucho sobre este tema y he visto que en todos los ataques el usuario pone la comilla simple '

He visto la biblioteca de funciones en esta misma página donde dan a conocer unas funciones que podrían evitar el problema reemplazando el caracter ' por ''... el tema es que también he visto que reemplazan otros caracteres o palabras reservadas como insert o shutdown, etc...

Si se reemplaza el caracter ' por '', se supone que no hay porqué reemplazar mas caracteres porque todo lo que caiga dentro de la variable va a ser tomado como texto?... ya sea shutdown, update, etc...

¿Es necesario reemplazar otros caracteres además de la comilla simple? o con esto basta?...

Estuve mirando un artículo de Chris Anley sobre sql injection y casi todos los ejemplos que muestra contienen la comilla simple... claro que hay uno en que dice que si uno hace uso de la palabra char, también podrían existir ataques....

El tema central de la discusión es simple...

¿Basta con delimitar el caracter '? ¿Cubre todo?... o se requieren evitar otros caracteres? ¿Por qué?...

Dejo el tema para que se discuta...

Gracias