То есть, вроде всё как по примеру , вопросительные знаки, массив подставляемый по порядку. Это альтернативный подход именованым prepared statements, и здесь, как и там, запрос и параметры подаются отдельно. Получается, отличие состоит в том, что тут не происходит строгой проверки по типу со всякими PDO::PARAM_* поэтому это небезопасно? Но строгая типизация ещё ведь не означает защиты от инъекций, так?
Подытожим: то есть в PDO суть достигается разделением и ничем больше (то есть этого достаточно, разницы между подготовкой через имена и «?» с точки зрения безопасности нет)?