Googleando un poco:
Aqui o
aqui
Sobre lo de las consultas seguras, al utilizar statements preparados, PDO se encarga de limpiar las consultas.
Código PHP:
Ver original//$db es el objeto PDO
$stmt = $db->prepare('SELECT * FROM items WHERE id = ?');
$stmt ->execute(array($miVariableID));