SQL Injection：就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

详情可以看

http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html

主要是防止sql注入，提高安全性

主要是防止sql注入，占位符中所替代的字符不会被当作mysql语句来执行。

因为和PDO的和MySQL的都差不多,你可以参照这两个视频

^_^...