PDO macht hinter den Kulissen viel mehr, als nur Ihre Platzhalter durch die parametrisierten Daten zu ersetzen. Datenbank-Engines akzeptieren möglicherweise Abfragen in einer ähnlichen Form wie "Hier ist Ihre Aussage, hier sind die Platzhalter, und ich werde Ihnen sagen, was in jeden Platzhalter gehört". Die SQL-Engine weiß, dass die Parameter KEIN Rohcode sind, der ausgeführt werden soll, sondern nur als Daten behandelt werden sollen.
