Ciao,
in parte dipende dal db comunque...
io controllerei anche la , (virgola) negli INSERT (es VALUES (1,2,3),(4,5,6))

comunque se l'api PHP per il database che ti interessa prevede una funzione xxx_escape_string usala, e in più verifica anche la lunghezza massima delle stringe che provengono dall'utente.
Alcuni attacchi prevedono un invio di stringhe molto molto lunghe per "impallare" il db.

Fino a mysql 4.0 non serviva preoccuparsi troppo del ; (si poteva eseguire una sola query alla volta) ma, se non sbaglio, con mysqli si possono inviare più espressioni sql con una sola query