PDO kullanmanız sizi 100% SQL Injection vb. saldırılardan korumaz gelen verilerin type kontrollerini yapın, mümkünse gelen verileri md5 benzeri şifreleme türleri ile şifreleyin ve sorguya o şekilde sokun kullanıcıya ait Tarayıcı bilgilerini, IP Bilgilerini ve Platform bilgilerini SESSION üzerinde tutarak arkada sürekli kontrol ettirtin bu sizi session hijacking gibi saldırılardan koruyacaktır, CSRF Token kullanımına özen gösterin bunlara dikkat ettiğiniz takdir de çok sorun yaşamazsınız ayrıca düz php kullanmayın