Tempo fa avevo letto questo articolo, che parla di SQL Injection. Si parla di PHP ma il concetto è sempre lo stesso, quale che sia il linguaggio o il database che usi, basta leggerlo con un po' di criterio.

Per adesso ho controllato che alcuni caratteri tipo ' / ; non vengano inseriti
Questo non è il modo migliore per risolvere il problema, quello che andrebbe fatto è il contrario di quello che hai fatto tu. Cerco di spiegarmi meglio che posso, quando bisogna validare dei dati di qualsiasi genere è buona norma stabilire come i dati devono essere fatti e non come non devono esserlo, nel tuo caso non devi controllare che non contengano apici, slash o punti e virgola, devi piuttosto controllare che contengano solo, per esempio, caratteri alfanumerici o comunque caratteri che si possano considerare "sicuri". Così facendo elimini il rischio di dimenticarti, o non pensare, a qualcosa che invece potrebbe essere potenzialmente dannoso.