на пхп точно такие же принципы и подходы к безопасности как и на асп/яве/питоне/любом другом языке.
то есть у вас либо вообще есть понимание и вы просто гуглите как, например, сделать экранирование вывода или параметризованный запрос на пхп, или просто учите основы.
из очевидного: что такое ROOT в конструкторе и откуда оно берется?
ROOTconfig/routes.php
1. ROOT идет строкой (опять же вы профукали скоупы).
2. между ними должен быть слэш. не существенно, но будет роялить когда поправите п. 1.
плейсхолдерами могут быть только значения полей, но не имена полей/таблиц/etc.
то есть ваш запрос все равно не выполнится, даже с правильным экранированием.
имена полей принято заключать в обратные кавычки для избежания конфликтов c ключевыми словами самого SQL.