Безопасность SQL запроса Insert

Добрый день! Я начал изучение методов PDO в принципе все понимаю но хотел бы уточнить у знающих людей,в общем мой запрос инсерт

DB::insert('table', array(
  'vi' => $vi,
  'data' => '',
  'posi' => $_POST['na'],
  'desc' => $_POST['des'],
  'bu' => $_POST['zana'],
  'ed' => $_POST['kv'],
  'dat' => '$date',
  'dop' => $_POST['dop_i'],
  'priemt' => $_POST['pr'],
  'spisok' => $_POST['spis'],
  'date' => $date1,
  'mesto' => $_POST['mest'],
  'date' => $date,
  'vacan' => '1',
  'con' => $_POST['con']
)); 

На сколько он безопасен в таком виде? Я пробывал подсовывать вместо значений Плейсхолдеры %i %l %s но выдает ошибку. Я понял что в таком Инсерте Плейсхолдеры не будут работать а вот какой риск у данного запроса что есть угроза SQL инъекций и XSS