Direk olarak PDO, SQL Injection'dan kaçmıyor diye biliyorum hocam. Prepared Statments denen sorgu hazırlama yapısını kullanman lazım. Burdan detaylı olarak bakabilirsin.