Ciao,
i caratteri sono gli stessi di Mysql e di altri db (apice singolo, percentuale, _ etc.) in più rispetto a Mysql (ma non ad altri db) bisogna tenere presente il ; perchè è possibile inserire più query nella stessa chiamata a sqlite_query e sqlite_exec

Nel dubbio applica sempre
http://it.php.net/manual/en/function...ape-string.php

alle stringhe che inserisci in una query creata dinamicamente

Es.

$valore = sqlite_escape_string($_POST['valore']) ;

$query = select * where campo = '{$valore}' ;

Il carattere di escape usato da sqlite non è \ come in mysql ma ' come in MS Sqlserver, quindi non bisogna usare addslashes()