Я читал, что с PDO вам не нужно экранировать переменные, если вы используете команду prepare и передаете переменные в execute:
$st = $dbh->prepare("INSERT INTO mytable (name,email) VALUES (?,?)");
$st->execute(array($_POST['name'], $_POST['email']));
Это правда?
Или я все еще нужно что-то сделать с $ _POST?