quão seguras são as declarações preparadas com DOP
Comecei a usar as instruções preparadas pelo PDO não há muito tempo e, pelo que entendi, ele faz todo o escape / segurança para você.
por exemplo, assumir $ _POST ['title'] é um campo de formulário.
$title = $_POST['title'];
$query = "insert into blog(userID, title) values (?, ?)"
$st = $sql->prepare($query);
$st->bindParam(1, $_SESSION['user']['userID'], PDO::PARAM_INT);
$st->bindParam(2, $title);
$st->execute();
Isso é realmente seguro? Eu tenho que fazer mais alguma coisa? o que mais eu tenho que levar em consideração?
Obrigado.