Vous devez utiliser PDO Prepare
À partir du lien :
L'appel de PDO::prepare() et PDOStatement::execute() pour les instructions qui seront émises plusieurs fois avec différentes valeurs de paramètre optimise les performances de votre application en permettant au pilote de négocier la mise en cache côté client et/ou serveur du plan de requête et les méta-informations et aide à prévenir les attaques par injection SQL en éliminant le besoin de citer manuellement les paramètres .