試す環境がないので想像の域を出ないのですが、円記号によるパストラバーサルと同様に、Unicode の膨大な文字と不思議なマッピングを利用した SQL インジェクションというのも確実に存在するのだろうと思います。
要は、サニタイズのロジックを回避するための代替エンコーディングが実現できればよいわけで、Windows 上でとあるコードページの変換ルールを見ていると、Unicode から変換したときにシングルクォートなどの危険な文字に変換される文字も複数あったりするわけで…。
実際にどの文字が危険か判断できないのであれば、無害であることが確実な文字だけを許可する(無害な文字以外は除去する、エスケープする等)が必要なのは XSS などの対策でも同じですね。