SQL prepare что не так?

Dram, работать с базой через прямые запросы это сейчас архаично. Даже раньше писали класс для удобства и работали через него. Напишите класс для своего удобства для работы с PDO, да придётся PDO хорошенько изучить, подумать как сделать и сделать, но зато в будущем избежите подобных проблем.

Или используйте https://redbeanphp.com, я когда начинал делать свой класс работы с базой, некоторые моменты подсмотрел у redbeen, хотя сделал всё по своему естественно 😎

Проблему решила строчка 

 $this->pdo->setAttribute( \PDO::ATTR_EMULATE_PREPARES, false );

Добавленная в метод класса работы с базой

    public function query(string $sql, $params = [], string $className = 'stdClass'): ?array
    {
        $this->pdo->setAttribute( \PDO::ATTR_EMULATE_PREPARES, false );
        $sth = $this->pdo->prepare($sql);
        $result = $sth->execute($params);

        if (false === $result) {
            return null;
        }

        return $sth->fetchAll(PDO::FETCH_CLASS, $className);
    }

Я правильно пронимаю что я отключил по сути "подготовленные запросы" и теперь потенциально увеличился риск SQL инъекций?

Так лом можно было использовать?

В таком случае можно было и молотком, топором или лопатой "решить проблему" 😀

По большому счету здесь даже для catid не нужен подготовленный запрос, т.к. существование категории должно проверяться отдельным "опережающим" запросом. Иногда используют и "ленивые" проверки, но не думаю, что автор достиг такого уровня.