Los ataques de SQL inyección se evaden escapando todos aquellos caracteres especiales que usa el parser SQL del motor de la BDMS, cómo las comillas.

Sin duda usar una expresión regular para limitar la entrada de caracteres es muy buena idea, pero no es la única forma, además el solo hecho de usar PDO correctamente con consultas preparada ayuda mucho.

Puede segur usando su método, aunque no esta de más sí implementa PDO, saludos