Tam tersi olması lazım değil mi hocam? PDO veya Mysqli kullansak bile sorgu verilerini filtre etmeden yapılan her query tehdit barındırır.
orada kullanılan verilerde get kullanılıyor. get sabote edilebilir ama direkt olarak sonuçları mysql veriyor. error verse dahil görebilirsiniz. pdo da tabloları direct olarak görmeniz pek de mümkün değil