Es mejor hacerla con prepare, si vas a enviar múltiples queries, ya que esto compila el query previamente en el RDBMS y lo deja en un estado que puedes llamarla múltiples veces sin afectar el rendimiento.

El hacerla con query, no te da ningun beneficio y al contrario te puede dar más problemas ya que tu tienes que escapar tus variables para prevenir XSS.

PDO es el API oficial de PHP para conectarse a las bases de datos, muchos ORMs, y Frameworks construyen sus clases encima de PDO por su flexibilidad.

Saludos.