PHPマニュアルのpdo::prepare() の項(http://php.net/manual/ja/pdo.prepare.php)を見れば二つやり方が載ってましたよ。
以下引用です。
/* 値の配列を渡してプリペアードステートメントを実行する */
$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < ? AND colour = ?');
$sth->execute(array(150, 'red'));
$red = $sth->fetchAll();
これは名前つきのパラメーターを使いますので、ちょっと複雑になります。
//* 値の配列を渡してプリペアードステートメントを実行する */
$sql = 'SELECT name, colour, calories
FROM fruit
WHERE calories < :calories AND colour = :colour';
$sth = $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
$sth->execute(array(':calories' => 150, ':colour' => 'red'));
$red = $sth->fetchAll();
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。