Mira encontre algo de PDO en la web, pero de verdad no creo que sea tan sencillo:

1) Una consulta directa sin retorno de datos (como un insert por ejemplo) la haria de la siguiente forma en mysql despues de haber conectado a la base de datos obvio:

$query = mysql_query( $sql);

2) Y dice que puedo hacerlo asi:

$cnn->exec("INSERT INTO usuario (id, cedula, nombre) VALUES(1, '1037610909', 'Alex');");

2 preguntas sobre esto:

1) Ocultaria esto la sentencia SQL a un atacante, como?
2)que pasa si yo hago en otro archivo todas las sentencias y la incluyo en esta parte, y llamo a una sentencia determinada encerrada en una variable(por ejemplo aca en $sql), eso ayudaria tambien??