Debe usar PDO Prepare
Desde el enlace:
Llamar a PDO::prepare() y PDOStatement::execute() para declaraciones que se emitirán varias veces con diferentes valores de parámetros optimiza el rendimiento de su aplicación al permitir que el controlador negocie el almacenamiento en caché del lado del cliente y/o del servidor del plan de consulta y metainformación, y ayuda a prevenir ataques de inyección SQL al eliminar la necesidad de citar manualmente los parámetros .