Direk parametre geçirebilirsiniz fakat binParam kullanmanızı öneririm.
Sonuçta pdo kendi içinde injection vb açıklara karşı koruma sağlıyor ve bunları sonuna kadar kullanmak gerekir.