Si realmente estan filtradas todas las entradas, entonces ya estas protegido; unicamente no se te pase proteger TODAS tus variables $_GET y $_POST

nomas pon atencion que si ademites el caracter % si te pueden meter una inyeccion