Выборка информации из БД

В коде есть запрос к БД MySQl

$sql = "SELECT `name`, `city` FROM `modx_firm` WHERE 
    inn = '" . mysql_escape_string($inn) . "' AND schet = '" . mysql_escape_string($kpp) . "'";
$q = $modx->prepare($sql);
$q->execute();
$company = $q->fetchAll(PDO::FETCH_ASSOC);

После перехода на php7 на функцию mysql_escape_string() выдаёт ошибку. Вопрос нужно ли использовать эту функцию вообще или для экранирования и защиты запроса от инъекций достаточно $modx->prepare($sql), переменные $inn и $kpp вводит посетитель сайта?