Nevím, jak jsi to tam použil, ale PDO ušetřuje SQL injection jenom když předáš hodnoty jako parametr metody:
PDO::query('... id = ?', $id);
podívej se na zdejší tutoriály. Tam je to moc pěkně popsané.
http://www.itnetwork.cz/…adlo-navstev
http://www.itnetwork.cz/…ev-dokonceni
PDO je prakticky jen způsob připojení k databázi... taky jde o to, jak tam ty dotazy kladeš. Tipuju že si tam neměl
$pdo -> prepare ("SQL....");najdi si o tom víc...
ale jen něco jako
$xy = $_POST['xy'];
foreach ($pdo -> query("SQL... $xy.....") as $data)Doufám že je k pochopení, co tím myslím 
Věřím, že tady o tom něco
najdeš v článcích...
Vím, že je to jenom způsob připojení. Je tohle dobře?
$vloz = $this->getDB()->prepare($this->dotaz);
$values = $this->data;
$vloz->execute($values);A výběr mám:
$q = $this->getDB()->prepare($this->vyber);
$q->execute(); //ARRAY!
$data = $q->fetchAll();Zobrazeno 6 zpráv z 6.