Nel prepare, metti direttamente $var al posto del primo "?"

Secondo me, ti esponi a qualche problema di sicurezza se non verifichi e validi attentamente quello che ricevi via GET