Czy przygotowywane deklaracje PDO są wystarczające, aby zapobiec iniekcji SQL?

Powiedzmy, że mam taki kod:

$dbh = new PDO("blahblah");

$stmt = $dbh->prepare('SELECT * FROM users where username = :username');
$stmt->execute( array(':username' => $_REQUEST['username']) );

Dokumentacja PDO mówi:

Parametry przygotowanych instrukcji nie muszą być cytowane; kierowca obsługuje to dla ciebie.

Czy to naprawdę wszystko, co muszę zrobić, aby uniknąć zastrzyków SQL? Czy to naprawdę takie proste?

Możesz założyć MySQL, jeśli ma to znaczenie. Jestem też bardzo ciekawy, jak używać przygotowanych instrukcji przeciwko iniekcji SQL. W tym kontekście nie obchodzi mnie XSS ani inne możliwe luki.

questionAnswers(7)

yourAnswerToTheQuestion