Ne, připravené dotazy (při správném použití) zajistí, že data budou správně escapována pro bezpečné dotazování. Používáte je správně, stačí změnit jednu maličkost. Protože používáte '?' zástupný symbol, je lepší předat parametry pomocí metody execute.
$sql->execute(array($consulta));
Buďte opatrní, pokud to posíláte na svou stránku, dezinfekce databáze neznamená, že bude bezpečná pro zobrazení v HTML, takže na ní spusťte také htmlspecialchars().