//create user
$create_user = $dbh->prepare('INSERT INTO users (email, passwordhash)
VALUES (:email, :passwordhash)');
Мне все еще нужно использовать какой-то mysql_escape_string, если есть оператор подготовки, как указано выше?
Нет, вам не нужно использовать mysql_escape_string
В PDO готовят операторы, которые связывают переменные. PDO позаботится об этом, пока вы не передадите значения непосредственно в функцию preapare.
Других решений пока нет …