PDO hace mucho más detrás de escena que simplemente reemplazar sus marcadores de posición con los datos parametrizados. Los motores de bases de datos pueden aceptar consultas en una forma similar a "aquí está su declaración, aquí están los marcadores de posición y le diré qué va en cada marcador de posición". El motor SQL sabe que los parámetros NO son código sin procesar para ejecutar, sino que deben tratarse solo como datos.
