Nee, voorbereide zoekopdrachten (indien correct gebruikt) zorgen ervoor dat gegevens op de juiste manier worden ontsnapt voor veilige zoekopdrachten. Je gebruikt ze een beetje op de juiste manier, je hoeft maar één klein ding te veranderen. Omdat u de '?' tijdelijke aanduiding, is het beter om parameters door te geven via de execute methode.
$sql->execute(array($consulta));
Wees voorzichtig als je dat naar je pagina stuurt, het opschonen van de database betekent niet dat het veilig is voor weergave in HTML, dus voer er ook htmlspecialchars() op uit.