Sinceramente, io il controllo sui caratteri di un indirizzo nemmeno lo farei, tanto dovresti consentire quasi qualsiasi cosa.
Tanto per continuare: dovresti prevedere anche le lettere accentate, l'apostrofo, il punto...

Consenti qualsiasi cosa e preoccupati solo di fare un controllo per sql injection con mysqli_real_escape_string()