Para evitar SQL Injections lo puedes hacer mucho más facil con mysqli o algún framework simplemente escapando las consultas. No hace falta tanto lío.

Para acceder al elemento de un objeto es con object->nombre no object['nombre'] (esto es para arrays).

Cuando haces el foreach estás seguro de que eso es una lista de objetos de tipo Validar o estas haciendo un foreach de un objeto validar? porque entonces normal que no te coja los campos porque en $informe estás cogiendo cada uno de los campos de validar.

Además, el campo nombre es privado por lo que veo porque no puedes acceder haciendo un $informe->nombre. Tendrás que hacer un "getter" que devuelva ese atributo, ya que es privado.