Как мы узнаем, что PDO избегает SQL-инъекций?

Я новичок в библиотеках PDO. Я работаю над средой разработки с mysql в качестве моей базы данных. Я могу выполнять свои запросы, используя функцию подготовки и выполнения при использовании символа "?" placeholder, а также метод bindParam при использовании именованных заполнителей (например: ": column").

После этого я попытался проверить, выполняет ли PDO какой-либо вид экранирования, помещая какие-либо кавычки для очистки запроса, как это делает mysql_real_escape_string. Я пытаюсь посмотреть, как будет выглядеть запрос, но все, что я получаю, - это оператор, который был передан в оператор подготовки, но не запрос, который будет выполнен.

Я попытался создать var_dump для $ result-> execute () , и $ result-> fetch (), но оператор execute дает мне мой sql оператора подготовки с заполнителями, в то время как оператор fetch дает мне результат этого запроса.

Есть ли способ посмотреть на запрос поиска, который будет запущен , или, по крайней мере, как будут выглядеть параметры до выполнения запроса ??

Надеюсь, мой вопрос ясен. : |