Comecei a usar as instruções preparadas pelo PDO não há muito tempo e, pelo que entendi, ele faz todo o escape / segurança para você.

por exemplo, assumir $ _POST ['title'] é um campo de formulário.

$title = $_POST['title'];
$query = "insert into blog(userID, title) values (?, ?)"
$st = $sql->prepare($query);
$st->bindParam(1, $_SESSION['user']['userID'], PDO::PARAM_INT);
$st->bindParam(2, $title);
$st->execute();

Isso é realmente seguro? Eu tenho que fazer mais alguma coisa? o que mais eu tenho que levar em consideração?

Obrigado.