Ссылка: Как я могу предотвратить SQL-инъекцию в PHP?
$preparedStatement = $db->prepare('SELECT * FROM employees WHERE name = :name'); $preparedStatement->execute(array(':name' => $name)); $rows = $preparedStatement->fetchAll();