Может ли быть уязвимым сайт, использующий PDO?

Ну PDO тоже надо уметь правильно приготовить, так что теоретически может.

Находят же иногда баги в разном ПО - тот же heartbleed например.

PDO и работа с БД - это только часть защиты.

Банально в логике можно просчитаться и получить уязвимость

Как вам такая "защита"?

PDO->query('INSERT INTO `table` SET `colname` = "'.$_POST['param'].'"');

PDO->query('INSERT INTO `table` SET `colname` = "'.$_POST['param'].'"');

я говорю про нормальное использование с плейсхолдерами

Во-первых PDO эмулирует prepared statements по крайней мере для MySQL. Это позволяет делать такие вещи, как:

$pdo->query('SET NAMES gbk');
$var = "\xbf\x27 OR 1=1 /*";
$query = 'SELECT * FROM test WHERE name = ? LIMIT 1';
$stmt = $pdo->prepare($query);
$stmt->execute(array($var));

В результате исполнится запрос SELECT * FROM test WHERE name = '縗' OR 1=1 /*' LIMIT 1

Кроме того, уязвимости не ограничиваются SQL-инъекциями.

Мда, старею, - привык любые входящие параметры проверять,

никаких инъекций гарантированно.

$pdo->query('SET NAMES gbk');
$var = "\xbf\x27 OR 1=1 /*";
$query = 'SELECT * FROM test WHERE name = ? LIMIT 1';
$stmt = $pdo->prepare($query);
$stmt->execute(array($var));

Так удобнее:

$sth = DB::prepare
('
	UPDATE `table`
	SET
		`param` = :param,
	WHERE
		`id`    = :id
')
->bindValue('param', $param, PDO::PARAM_STR)
->bindValue('id',    $id,    PDO::PARAM_INT)
->execute();

Правда, здесь своя обёртка над PDO

Пример был приведен в качестве демонстрации того, что в prepared statements все равно можно что-то протолкнуть, а не для демонстрации красоты синтаксиса

---------- Добавлено 05.06.2016 в 10:16 ----------

Из-за этого девушки страдают

Это пример рукожопости отдельно взятого программиста. Обрабатывать все входящие данные самому - это нужно взять за правило, а не надеяться что какой-то компьютерный интелект в виде pdo сообразит что нужно делать и как все обработать.