Ma a te di preciso a cosa serve saperlo?
Non vuoi che vengano inseriti, vuoi che vengano trasformati o cosa? Se ti spieghi meglio forse ti possiamo dare una mano e trovare una soluzione migliore delle regex!

Per esempio c'è la funzione html_encode() o simile (ora non ricordo con precisione) che trasforma tutti i caratteri nel corrispondnte html e quindi evita anche i problem di sqlinjection.