prepare edildiğinde fonksiyonu execute etmeniz gerekir

$p = $db->prepare("Select * From bilgiler");
$p->execute();

sistem içinde dışarıdan veri almaksızın parametre gönderilerek veri alımı
$p = $db->prepare("Select * From bilgiler WHERE username = :un");
$p->execute(Array("un"=>"test"));

dışarıdan gelen verileri güvenli içeri almak ise
$username = $_GET["username"];
$p = $db->prepare("Select * From bilgiler WHERE username = :un");
$p->bindParam(':un', $username, PDO::PARAM_STR );
$p->execute();

PDO::PARAM_STR,PDO::PARAM_INT gibi parametrelerle alınacak veriyi spesifik hale getirip güvenliği sınırlayabilirsiniz.