Nein, vorbereitete Abfragen (bei richtiger Verwendung) stellen sicher, dass Daten für sichere Abfragen ordnungsgemäß maskiert werden. Sie verwenden sie irgendwie richtig, Sie müssen nur eine Kleinigkeit ändern. Da Sie das '?' Platzhalter, es ist besser, Parameter durch die Ausführungsmethode zu übergeben.
$sql->execute(array($consulta));
Seien Sie nur vorsichtig, wenn Sie das auf Ihrer Seite ausgeben, Datenbankbereinigung bedeutet nicht, dass es sicher für die Anzeige in HTML ist, also führen Sie auch htmlspecialchars() darauf aus.