+ olarak sql sorgunuzun içinde dışarıdan değer ekleyecekseniz query yerine prepare statement kullanarak daha güvenli bir kod yazabilirsiniz;

$db->prepare('SELECT * FROM users WHERE username = :username');
$db->execute([
    'username' => $username
]);