mysql PDO et injection SQL dynamique de procédure stockée

Oui bien sûr.

Et si in_var est égal à ' UNION SELECT password from admins -- ?

Pour éviter cela, vous ne devez pas utiliser un culte cargo déclaration préparée mais une vraie, en remplaçant votre variable par un espace réservé.

SET @query = CONCAT("SELECT * FROM my_table  WHERE my_column = ? LIMIT 1;");

PREPARE stmt FROM @query;
EXECUTE stmt USING @in_var;

Mettre à niveau WAMP vers MySQL 5.5 ?

Comment connaître mon URL MySQL, mon hôte, mon port et mon nom d'utilisateur ?

Déploiement d'un serveur Percona sur un cloud hybride
Faire correspondre l'offre à la demande - Solutions, partie 3
Principes de base de l'instruction SQL Server ALTER TABLE
Séparer les chaînes :maintenant avec moins de T-SQL