PDO zabezpieczenia ? Opcje

[smiady]

Witam.

Mam pytanie odnośnie PDO i wstrzykiwania kodu.
Otóż mam taki fragment:

[PHP] pobierz, plaintext 
					$db= new PDO('mysql:host=localhost;dbname=test', 'root', '');
 
					$sql= "SELECT id FROM uzytkownicy WHERE login= :login AND haslo= :haslo";
					$login= $db->prepare($sql);
 
					$login->execute(array(':login' => $_REQUEST['login'],
								         ':haslo' => $_REQUEST['haslo']));
					if($login->fetch()) echo 'zostałeś zalogowany !';
					else echo 'niestety nie zostałeś zalogowany !';
[PHP] pobierz, plaintext 

i gdy w loginie wpisuje np test' -- (po myślnikach jeszcze spacja) to nie da się zalogować, a w przypadku mysqli bez użycia real_escape_string już da.
Myślałem, że bindValue ma zabezpieczenia, a czy execute je też tworzy ? czy w przypadku PDO kod się inaczej wstrzykuje - jeśli tak to jak ?