In parole povere, occorre scrivere codice che non solo "funzionicchi", ma sia in grado di reagire di fronte a situazioni non previste. Ed anche una gestione degli errori sarebbe da implementare sempre (cosa che si fa obbligatoriamente in altri linguaggi).

In una situazione reale bisogna tenere conto, specie queando si gestiscono delle stringhe prelevate dall'utente ed utilizzate per generare dei comandi, che non contengano elementi che potrebbero mandare in crisi il comando e fare anche dei danni.
Di solito non è la bravura dell'utente, ma una dimenticanza (magari inesperienza) del programmatore. Ma cio' non vale solo nei confronti di utenti "maliziosi", ma nei confronti di tutti.

Ad esempio se il carattere apice viene interpretato come "delimitatore di una stringa" in SQL, occorre modificarlo in modo che sia innocuo, ma che un utente possa tranquillamente usarlo, magari quando scrive un nome, come ad esempio "D'Agostino".
Se lo script fallisce in una situazione simile, non c'e' dubbio: il problema è del programmatore, non dell'utente.
E un utente malizioso potrebbe, scoperto il buco, provare a scrivere un pezzo di clausola sql, che funzioni in quel contesto.

Idem per i simboli speciali come il % ed il *
il carattere apice, in SQL e' rappresentato da due apici.
il carattere * e % devono essere inseriti tra parentesi quadre e non fanno più danni.

<b>
stringa=request.form("casella")
stringa=replace(stringa,"'","''")
stringa=replace(stringa,"*","[*]")
stringa=replace(stringa,"*","")
sql=SELECT * FROM Parole WHERE parola = '& Stringa & '
b</b>
non farà piu danni.
Ovviamente se quei caratteri non sono ammessi in un nome utente o in una password, basta fare un controllo aggiuntivo.

Se usi javascript, tra l'altro, occorre tenere conto dei caratteri speciali.