Nie, przygotowane zapytania (jeśli są używane prawidłowo) zapewnią, że dane zostaną prawidłowo ucieleśnione w celu bezpiecznego wykonywania zapytań. Używasz ich właściwie, wystarczy zmienić jedną małą rzecz. Ponieważ używasz znaku „?” symbol zastępczy, lepiej jest przekazywać parametry przez metodę execute.
$sql->execute(array($consulta));
Po prostu bądź ostrożny, jeśli wyświetlasz to na swojej stronie, oczyszczanie bazy danych nie oznacza, że będzie ona bezpieczna do wyświetlania w HTML, więc uruchom na niej również htmlspecialchars().
