いろいろな記事を読んで読んで、まあひとつの結論にたどり着いた。

■単にプリペアドステートメントを使え
■文字列結合でSQLを構築するな
from: http://d.hatena.ne.jp/ajiyoshi/20100409/1270809525

ということで、昨日全てPDOで書き直したSQL文をこの原則に沿って再度修正していきます。

※上記記事で必読とされていた「安全なウェブサイトの作り方」の
　「安全なSQLの呼び出し方」
　　http://www.ipa.go.jp/security/vuln/websecurity.html
※あと、とても参考になった徳丸記事
　「SQLインジェクション対策」でGoogle検索して上位15記事を検証した
　http://d.hatena.ne.jp/ockeghem/20111109/p1