Du bör använda PDO Prepare
Från länken:
Att anropa PDO::prepare() och PDOStatement::execute() för satser som kommer att utfärdas flera gånger med olika parametervärden optimerar prestandan för din applikation genom att tillåta föraren att förhandla om klient- och/eller serversidans cachning av frågeplanen och metainformation och hjälper till att förhindra SQL-injektionsattacker genom att eliminera behovet av att manuellt citera parametrarna .