Hiç takılmadan PDO ya geçmen en iyisi hemde escape fonksiyonu kullanmana gerek kalmadan prepared sorgular oluşturarak sql injection açığından korunmuş olursunuz.