Yukarıdaki arkadaşin bahsettigi gibi kodlama seklinize bağlıdır. Pdo yu mysql_query sınıfı gibi kodlarsanız sqlinjection açığı işler.

sqlinjection açığından pdo ile kurtulmak için veri sorgularken ve çekerken prepare kullanın.