Desconozco porque lo tendrán desactivado, pero PDO puede evitar inyección sql usando prepare y bindParam o bindValue.
Te recomiendo que leas esta información para más detalles
http://dev.mysql.com/tech-resources/...tatements.html Cita: Prepared statements can help increase security by separating SQL logic from the data being supplied. This separation of logic and data can help prevent a very common type of vulnerability called an SQL injection attack...