Nej, forberedte forespørgsler (når de bruges korrekt) vil sikre, at data escapes korrekt for sikker forespørgsel. Du bruger dem sådan set rigtigt, du skal bare ændre en lille ting. Fordi du bruger '?' pladsholder, er det bedre at sende parametre gennem execute-metoden.
$sql->execute(array($consulta));
Bare vær forsigtig, hvis du udsender det til din side, databasesanering betyder ikke, at den vil være sikker til visning i HTML, så kør også htmlspecialchars() på den.