Non, les requêtes préparées (lorsqu'elles sont utilisées correctement) garantissent que les données sont correctement échappées pour une interrogation sécurisée. Vous les utilisez correctement, vous avez juste besoin de changer une petite chose. Parce que vous utilisez le '?' espace réservé, il est préférable de passer les paramètres via la méthode d'exécution.
$sql->execute(array($consulta));
Faites juste attention si vous affichez cela sur votre page, le nettoyage de la base de données ne signifie pas qu'elle sera sans danger pour l'affichage dans HTML, alors exécutez également htmlspecialchars() dessus.
