Me he puesto a estudiar a TOPE esto del PDO, una cosilla:
Antes de meter variables con el bindParam() del statement ¿"tengo que sanitizarlos"?
Me refiero si le aplico el método sql_real_escape_string, htmlentities, etc.. antes de pasar la variable a la función bindparam().

Otra cosa (disculpadme, estoy aprendiendo), ¿son eficaces los filtros PHP? Como los FILTER_SANITIZE_xxxxx

Muchas gracias.