prepare tek başına sql injectionlara karşı tam koruma sağlar => yanlış
charset belirtmeniz gerekiyor ve emulate kapatmanız gerekiyor.
sonuç olarak default ayarlarda hem pdo da heme mysqli de prepare tam koruma sağlamaz