Evet, gönderilen verileri "query" methodu ile direk sorguya dahil etmek SQL injection'a yatkın hale getirir. Bu nedenle, "prepare" methodunu kullanarak sorguyu çalıştırmak daha güvenlidir. Örnek olarak, aşağıdaki gibi düzenleyebilirsiniz:

if (isset($_POST['search'])) {
$name = htmlspecialchars(($_POST['search']));
$query = $db->prepare("SELECT * FROM posts WHERE title LIKE :name");
$query->execute(array(':name' => "%$name%"));
$result = $query->fetchAll(PDO::FETCH_ASSOC);
}

Bu şekilde, gönderilen veriler "prepare" metodu ile hazırlanmış bir sorguya dahil edilir ve SQL injection'a karşı daha korunaklı hale gelir.