Olá, então galera. Só pra tirar essa dúvida da minha cabeça...

To passando meu sistema todo pra PDO_SQLSRV, vi muitos sites informando que é mais seguro e tals, só que não informam algo completo sobre o assunto. Para executar query e retorno de dados eu acho perfect e consigo diminui 50% das consultas que faria numa conexão normal...
... o que quero saber mesmo é como se comporta uma injeção de SQL "se for possível, qual os testes que devo fazer, caracteres a bloquear?", performance "com certeza melhora, mas quais os maiores pontos disso para dar uma melhor explorada?", ou seja todas as vantagens e desvantagens sob uma conexão normal.

Muito Obrigado!