No, las consultas preparadas (cuando se usan correctamente) garantizarán que los datos se escapen correctamente para consultas seguras. Los estás usando correctamente, solo necesitas cambiar una pequeña cosa. Porque estás usando el '?' marcador de posición, es mejor pasar parámetros a través del método de ejecución.
$sql->execute(array($consulta));
Solo tenga cuidado si está enviando eso a su página, la desinfección de la base de datos no significa que será seguro mostrarlo dentro de HTML, así que ejecute htmlspecialchars() en él también.
