¿Qué tan seguras son las declaraciones preparadas de la DOP?
Comencé a usar declaraciones preparadas de DOP no hace mucho tiempo y, según tengo entendido, hace todo el escape / seguridad por usted.
por ejemplo, suponiendo que $ _POST ['title'] es un campo de formulario.
$title = $_POST['title'];
$query = "insert into blog(userID, title) values (?, ?)"
$st = $sql->prepare($query);
$st->bindParam(1, $_SESSION['user']['userID'], PDO::PARAM_INT);
$st->bindParam(2, $title);
$st->execute();
¿Es esto realmente seguro? ¿Tengo que hacer algo más? ¿Qué más tengo que tener en cuenta?
Gracias.