Ja, SQL-Injection und vorallem auch Encoding-Fehler durch "ungültige" Zeichen.

Letzteres kann man zwar auch so beheben, indem man die Quote-Fuktionen der DB-Komponente benutzt, welche es oftmals für Namen und Strings gibt.
> Feld-/Tabellenname so quoten, daß er ein gültiger Bezeichner wird, oder eben einen String so quoten, daß man ihn als Stringkonstante benutzen kann.