В PDO у нас есть несколько методов для выполнения запросов: query и execute. В чём их отличия вы узнаете из данного урока.
Метод query предназначен для запуска стандартного SQL кода. Защита от SQL-инъекций перекладывается на плечи разработчика.
Метод execute запускает заранее подготовленное выражение, в котором уже произошла подстановка параметров. Пример:
$sth = $dbh->prepare('SELECT name, colour, calories FROM fruit
WHERE calories < :calories AND colour = :colour');
$sth->bindParam(':calories', $calories);
$sth->bindParam(':colour', $colour);
$sth->execute();