Не, подготвените заявки (когато се използват правилно) ще гарантират, че данните са правилно екранирани за безопасно запитване. Използвате ги правилно, просто трябва да промените едно малко нещо. Тъй като използвате '?' заместител, по-добре е да прехвърлите параметрите през метода execute.
$sql->execute(array($consulta));
Само внимавайте, ако го извеждате на страницата си, санирането на базата данни не означава, че ще бъде безопасно за показване в HTML, така че стартирайте htmlspecialchars() и на нея.