В новинку для PDO - делают я должен выйти из аргументов, я являюсь передающим в подготовленный оператор PDO (такой как следующее):
$_GET['name'] = "O'Brady";
$sth = $dbh->prepare("INSERT INTO users SET name = :name");
$sth->bindParam(':name', $_GET['name']);
$sth->execute();
Нет. Вам также не нужны кавычки вокруг текстовых строк. Просто передайте переменные такими, какие они есть, и драйвер MySQL позаботится об остальном.
PDO построит запрос безопасным образом, так что вам не понадобится его раскрывать.