Начал использовать подготовленные заявления PDO не так давно, и, насколько я понимаю, он делает все побег / безопасность для вас.

например, предполагая, что $ _POST ['заглавие'] это поле формы.

$title = $_POST['title'];
$query = "insert into blog(userID, title) values (?, ?)"
$st = $sql->prepare($query);
$st->bindParam(1, $_SESSION['user']['userID'], PDO::PARAM_INT);
$st->bindParam(2, $title);
$st->execute();

Это действительно безопасно? Должен ли я сделать что-нибудь еще? Что еще я должен принять во внимание?

Благодарю.