У меня было это обсуждение с высокой репутацией PHP парень:
PDO здесь бесполезен. а также mysql_real_escape_string. крайне низкого качества.
Это, конечно, круто, но я, честно говоря, не знаю, что не так с предложением использовать mysql_real_escape_string
или PDO для исправления этого кода: