Как правильно экранировать данные?

Доброе утро, сообщество! А как вы экранируете данные, которые от пользователя идут в базу? Я честно до последнего момента был уверен что PDO prepare() делает всю работу по экранированию, и засунуть в нее инъекцию не реально. Но один мой товарищ тихо мирно обычной инъекцией очистил мне табличку в базе, доказав что prepare() нифига не экранирует.
Есть масса способов, таких как addslashes, но было бы интересно послушать от вас. Вдруг все уже за меня придумано…

$this->xpdo->prepare($sql)->execute(array_values($record));

[[pdoResources?
	&parents=`[[++locations_plans]]`
        &tpl=`@INLINE <a href="[[+alias]]">[[+menutitle]]</a>`
        &tvPrefix=``
        &where=`{"city:=":"Санкт–Петербург","template:=":3}`
        &includeTVs=`city`
]]