Inyección SQL: http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL Cita: PDO: La extensión PHP Data Objects (PDO) define un interfaz ligera, para tener acceso a bases de datos en PHP. Cada controlador de base de datos que implementa la interfaz PDO puede exponer base de datos específicas como funciones de extensión regular. Tenga en cuenta que no puede realizar las funciones de base de datos utilizando la extensión PDO por sí mismo, debe utilizar un controlador PDO de base de datos específica para tener acceso a un servidor de base de datos.
PDO proporciona una capa de abstracción acceso a datos, que significa que, independientemente de la base de datos que está utilizando, se utiliza las mismas funciones para realizar consultas y obtener datos. PDO no proporciona una abstracción base de datos; esto no reescribe SQL o emular características faltantes. Debe usar una capa de abstracción en toda regla, si necesita esto.
Muchos otros recomiendan que se use por ejemplo con mysql
mysql_real_escape_string y usar funciones como
sprintf, y realizar una validación correcta de los datos.