Не могу много сказать о CodeIgniter, но в качестве примера буду использовать Doctrine.Скажем, вы хотите получить пользователя из базы данных.Вы можете добавить условие к запросу:
// Correct usage. $user value will be passed as bound parameter to PDO
$query->where('u.username = ?', $user);
Или ..
// Works fine but should not be used like this and can be exploited if $user was not sanitized/escaped
$query->where("u.username = '$user' ");
То же относится и к обычному PDO.
Поэтому ответ таков: это может помочь вам,но вы все равно должны прочитать документацию и следовать инструкциям.