Mira, el asunto es que intentas resolver un problema que nadie tiene.

Me explico:

Lo que intentas hacer se le conoce como seguridad por oscuridad, es decir, eliminar parte de la información únicamente por la sensación de seguridad que da saber no tener dichos datos.

No tiene sentido alguno, si programas bien, y escapas apropiadamente tus consultas jamás podrán hacerte un SQL-Injection, no es necesario alterar la información del usuario por ello.

Lo mismo ocurre con XSS, CSRF y un montón de problemas más: si no los entiendes buscarás cualquier salida rápida como lo es no permitir ciertos caracteres.

Pero si realmente quieres hacer bien las cosas primero debes entenderlas, nada más.