Предотвращение sql-инъекций - почему нужно экранировать ввод при использовании подготовленных операторов?

Я провожу исследование в области веб-безопасности, и рецензент моей статьи сказал:

"Должно быть ясно, что для предотвращения SQL Injection приложение должно использовать подготовленные операторы, хранимые процедуры и экранированный ввод"

Мой вопрос в том, что одного из этих методов недостаточно? Хорошо, подготовленные операторы или хранимые процедуры лучше, чем простое экранирование, но если я использую PDO, почему я должен экранировать ввод или иметь хранимую процедуру? Имеет ли это смысл?