Měli byste použít PDO Prepare
Z odkazu:
Volání PDO::prepare() a PDOStatement::execute() pro příkazy, které budou vydány vícekrát s různými hodnotami parametrů, optimalizuje výkon vaší aplikace tím, že ovladači umožní vyjednat ukládání plánu dotazů do mezipaměti na straně klienta a/nebo serveru. meta informace a pomáhá předcházet útokům SQL injection tím, že eliminuje potřebu ručně citovat parametry .