PDO a bezpieczenstwo, PDO a bezpieczenstwo sql injection Opcje

[bfcior]

Witam,
Tak sobie przegladam forum i nie moglem znalezc konkretnej odpowiedzi.
Czy ktos potrafi mi odpowiedziec doslownie, czy stosowanie:

$pdo -> prepare('select * from tab where naz = :naz');
$stm -> bindParam(':naz', $_GET['naz'] ,PDO::PARAM_STR);

wyklucza calkowiecie atak typu sql injection? Na jakiej mniej wiecej zasadzie to dziala?

dzieki
Wasyl..

[sf]

Parę dni temu był o tym wątek, a odpowiedź masz w podręczniku na stronie php.net ...

The parameters to prepared statements don't need to be quoted; the driver handles it for you. If your application exclusively uses prepared statements, you can be sure that no SQL injection will occur. (However, if you're still building up other parts of the query based on untrusted input, you're still at risk).

[bfcior]

szukam i nie moge znalezc. Moze masz pod reka linka do tego watku? Chetnie bym przeczytal

[jang]

http://pl2.php.net/manual/pl/ref.pdo.php

[bfcior]

na php.net widzialem to, ale nie wszystkie pojecia w jezyku angielskim sa mi znane i myslalem ze gdzies ładny opis znajde na forum.php.PL