Hola, amigos

Estoy leyendo mucho sobre sql injection y hay algo que por más que leo no entiendo:

Si filtramos los caracteres de entrada procedentes de los formularios evitando los necesarios para ejecutar órdenes sql, ¿qué posibilidad tiene el atacante de inyectar código?

Estoy seguro de que se trata de una pregunta ingénua, pero por más vueltas que le doy ...

Gracias anticipadas