¿En síntesis?
Son rutinas programadas en SQL que pueden recibir parámetros y devolver resultados por parametro o como tablas (arrays en PHP), las cuales son invulnerables al SQL-Injection, ya que un SQL injection ingresando por parámetro genera un error de sintaxis irreversible.
Todos los DBMS (SQL Server, Oracle, PostgreSQL, MySQL, DB2, Firebird, etc.) tienen su propio modo de escribir estas rutinas, se crean en las mismas bases de datos.
Requieren cierta práctica, pero en esencia permiten realizar una o más operaciones en forma atómica (como si fuesen una sola sentencia), y para ciertas operaciones resultan mucho más eficientes, ya que toda la ejecución ocurre en el servidor de bases de datos, liberando a la aplicación de ciertas cargas.
Son muy usadas en sistemas de alta exigencia de seguridad. De hecho, en algunos casos que conozco las áreas de seguridad informática especifican a los desarrolladores que las consultas a la base se deben realizar exclusivamente en SP.

Hay mucha literatura sobre ellas, y como la sintaxis cambia entre los diferentes sistemas de BBDD, es recomendable acudir al manual de referencia del que vas a usar para ver exactamente cómo se crean, escriben y usan.