$con = new PDO('mysql:host=localhost;dbname=test;charset=utf8', $user,
$pass);
$sql = 'DELETE FROM table WHERE id = :id';
$stmt = $con->prepare($sql);
$stmt->bindParam(':id', $_POST['id']);
$stmt->execute();

この書き方でSQLインジェクションを防げているでしょうか?