つまりこういうこと。

やりたいことは、同じテーブルに対してさまざまな条件でソートしたいだけ。
ORDER BY の後を変数でSQL文に渡したいだけなのです。

例えば従業員一覧テーブルで、

$stmt = $pdo -> prepare("select * from `staff_table` order by age");
$stmt -> execute();

これは何の問題もない（とりあえず昇順降順は省略）。ところが、

$stmt = $pdo -> prepare("select * from `staff_table` order by :age");
$stmt -> bindValue(':age', "age", PDO::PARAM_STR);
$stmt -> execute();

これが全く効かない。
エラーも全く吐き出さず、primary_keyであるスタッフID順に取り出してくれる。
ageを変数にしてみてもダメ。何してもだめ。

さっきからいろいろググってみてるんだけど、例文はwhere句ばっかり。
やっと見つけたページでは、結局ここの部分だけは変数そのまま突っ込むって解決法。さわやか。文句も言えんわ。
http://stackoverflow.com/questions/2542410/how-do-i-set-order-by-params-using-prepared-pdo-statement

あれこれ頑張って英語のサイトとか調べてたんだけど、どうやらテーブルのカラムはプレースホルダーに出来ないらしく。
合ってます？
とにかくそういうことだと理解。

もしかして、これって常識なの？俺が知らなかっただけ？

とにかく、結局変数のまま突っ込むしかないってことか。
まあ、カラム名なので、変数の段階できちんとチェックしてインジェクション対策をやっとけばOKなのかな。
カラム名のみの配列を取得して、その中での存在チェックして、って感じでOKなんかな?

他に方法知ってる方いらっしゃいましたら教えて下さいませ。

いろいろな記事を読んで読んで、まあひとつの結論にたどり着いた。

■単にプリペアドステートメントを使え
■文字列結合でSQLを構築するな
from: http://d.hatena.ne.jp/ajiyoshi/20100409/1270809525

ということで、昨日全てPDOで書き直したSQL文をこの原則に沿って再度修正していきます。

※上記記事で必読とされていた「安全なウェブサイトの作り方」の
　「安全なSQLの呼び出し方」
　　http://www.ipa.go.jp/security/vuln/websecurity.html
※あと、とても参考になった徳丸記事
　「SQLインジェクション対策」でGoogle検索して上位15記事を検証した
　http://d.hatena.ne.jp/ockeghem/20111109/p1

やったこと。
[1]大事なファイルをインクルードファイルにしてドキュメントルートの上に置く。
[2].htaccessでいくつかの拡張子を deny from allに。
[3]indexファイルが無い場合の挙動を拒否に。レンサバの仕様か、htaccessで設定しようとしたら500が出る。レンサバのファイルマネージャーから設定できた。
[4]※.htaccess クリックジャッキング対策。「Header set X-FRAME-OPTIONS "DENY"」追記したら500に。どうやらレンサバの仕様でOPTIONSの記述がNGなようだった。
ということで、HTMLにメタタグで記述。

<meta http-equiv="X-FRAME-OPTIONS" content="DENY" />

[5]CSRF対策。これはhttp://ss.hamachiya.com/easy_csrf/　が便利そうなので拝借。取り急ぎ一部だけ導入。あとはゆっくり全部やっていく。
[6]いくつかの設定項目や関数をまとめて外部ファイルに。

これからやること

1. 共通項目を外部ファイル化⇒進める
2. エスケープ処理の関数化と地道なエスケープ作業
3. SQLのPDOへの書き直し

<?php
foreach($_POST as $key => $val){
    // データを配列に代入
    $data_arr[$key] = $val;
}

なるほど。