いいえ、準備されたクエリ(適切に使用された場合)は、安全なクエリのためにデータが適切にエスケープされることを保証します。あなたはそれらを適切に使用しているようなものです。ちょっとした変更が必要です。 '?'を使用しているためプレースホルダーの場合、executeメソッドを介してパラメーターを渡すことをお勧めします。
$sql->execute(array($consulta));
これをページに出力する場合は注意が必要です。データベースのサニタイズは、HTML内での表示が安全であることを意味するわけではないため、htmlspecialchars()も実行してください。