Cita: Podría validar ambos, a la vez, pero ya no sabría qué bloquear, pues, si falla la dir de email, puede que solo no esté registrada o fallos de escritura, pero cómo bloqueo a un usuario cuyo mail no existe?
No puedes, es simple: no existe y por lo tanto no hace falta validar nada extra.
Cita: Cómo puedo blindar el parámetro de CLAVE siguiendo esta estructura, ya que meter mysql_real_escape_string no es una opcion válida en PDO?
PDO provee sus propios mecanismos, que es cuando usas bindParam(), consulta el manual.