Sql injection değil. Pdo kullanılmalı evet fakat pdo query kullanılırsa yine olmaz. En sağlıklı çalışanı pdo prepare. Buna dikkat edilmeli özellikle. Ek olarak htmlspecialchars, strip_tags kullanarak hem injection hem xss açıklarının önüne geçebiliriz.