`PDO::ATTR_EMULATE_PREPARES => false`は必要か？

これの言い出しっぺはわたくしだと思います。IPAの「安全なSQLの呼び出し方（2010年3月）」にて以下のように書いています。

このうち、静的プレースホルダは、SQLを準備する段階でSQL文の構文が確定し、あとからSQL構文が変化することがないため、SQLインジェクションの脆弱性が生じません。

それに対して、動的プレースホルダは、バインド処理を実現するライブラリの実装に問題があると、SQL構文が変化する可能性があり、SQLインジェクションの脆弱性が生じる可能性を否定できません。

そして、静的プレースホルダをPDOで実現する方法が、PDO::ATTR_EMULATE_PREPARES => false の設定です。

・charset の不適切な取り扱い対策(SET NAMESとセットで語られる)

・複文対策

これは副次的な理由だと思います。静的プレースホルダは、エミュレーションの実装を含め、原理的にSQLインジェクション脆弱性が存在し得ない（SQL文は固定とした場合）というのが推奨の理由です。
そして、過去にはエミュレーションの脆弱性が存在しました。詳しくは「安全なSQLの呼び出し方」を参照いただきたいと思いますが、エミュレーションの脆弱性なので、「アプリケーションが正しく文字エンコーディングを指定していても状況によっては脆弱性になる」ものです。

ただし、その脆弱性も文字コード絡みのもので、UTF-8と、Shift_JISあるいはEUC-JPを混ぜて使っている状況などで起こるものでした。そして、10年くらいエミュレーションの脆弱性は発見されていないと思います。

すなわち、以下のようなことは言えるかと思います。

• 過去にはプレースホルダのエミュレーションの脆弱性が発見されたことがあったが、最近は報告がないようだ
• 過去にあった脆弱性もUnicodeとJIS系エンコーディングを混在した場合のものであり、Unicode（UTF-8等）での統一が一般的になった状況では、エミュレーションの脆弱性は考えにくい

し・か・し・な・が・ら、原理的に安全というのと、実装に問題がなければ安全というのは、安全のレベルとしては全然違います。なので、最近私は、無理に静的プレースホルダ（エミュレーションオフ）を推奨してはいませんが、「理論的にはこうなので、組織あるいはプロジェクトとして、リスクとメリットを考慮して決めてください」という言い方をしています。