Трябва да използвате PDO Prepare
От линка:
Извикването на PDO::prepare() и PDOStatement::execute() за изрази, които ще бъдат издадени многократно с различни стойности на параметри, оптимизира производителността на вашето приложение, като позволява на драйвера да договаря кеширането от страна на клиента и/или сървъра на плана на заявката и мета информация и помага за предотвратяване на атаки с инжектиране на SQL, като елиминира необходимостта от ръчно цитиране на параметрите .
