Hola.

Primero que todo agradezco tu respuesta, me gusta que has profundizado en el tema para y no solo te has fijado en lo superficial que era la pregunta.

Bueno al tema, mira los de lo de validar el campo es algo raro eh estado practicando con eso pero aun no entiendo a gran escala que hace...

Oye y a que te quieres referir con esta parte "Igualmente que establezcas la codificacion de caracteres de la conexion con la base de datos de forma adecuada y explicita para que tanto la base de datos como php esten en concordancia, piensa que muchas de las funciones de escape como mysqli_real_escape_string() realizan su funcion en base a la codificacion establecida en la conexion que se le pasa."

Y una ultima cosa, he tratado de hacerme una INYECCION SQL, y me sale este mensaje .. Eso quiere decir que estoy siendo vulnerable o que "Fatal error: Uncaught PDOException: SQLSTATE[42000]: " Gracias por la ayuda.