Выполнить безопасный запрос с помощью PDO

$var="";
$var1=0;
if(isset($_GET['priceFrom'])){
$var = " `pris` > ". $_GET['priceFrom'];
$var1=1;
}
if(isset($_GET['priceUpTo'])){
if($var1==1){
$var1 = $var1 . " AND `pris` < " .  $_GET['priceUpTo'];
}else{
$var = " `pris` > ". $_GET['priceUpTo'];
}
mysql_query("SELECT * FROM object WHERE $var ");

PDO::prepare — Подготавливает запрос к выполнению и возвращает ассоциированный с этим запросом объект

http://php.net/manual/ru/pdo.prepare.php

// подключился с базе данных с помощью $pdo

$var='';
$var1=0;
if(isset($_GET['priceFrom'])){
$var = " pris > ". $_GET['priceFrom'];
$var1=1;
}
if(isset($_GET['priceUpTo'])){
if($var1==1){
$var1 = $var1 . " AND pris < " .  $_GET['priceUpTo'];
}else{
$var = " pris > ". $_GET['priceUpTo'];
}
}
$priceFrom = ($_GET['priceFrom']);
$priceUpTo = ($_GET['priceUpTo']);
$sql = $pdo->prepare("SELECT * FROM object WHERE " . $var);
$sql->execute(array($priceFrom, $priceUpTo));
var_dump($sql->fetch());

Надо использовать PDO и забиндить параметры, например так

$st = $pdo->prepare('SELECT * FROM `object` WHERE pris > :pris');
$st->bindParam(':pris', $_GET['priceUpTo']);
$st->execute();

Если ожидается цифровой параметр то можно сделать до запроса $_GET['priceUpTo'] = intval($_GET['priceUpTo']);