CI не использует PDO.
PDO в Codeigniter - защита от SQL-инъекций
CI использует mysql_real_escape_string() до помощи для защиты от инъекций или если вы чувствуете себя в большей безопасности, вы можетенайдите (или напишите) пользовательский класс PDO, подобный описанному выше.
From http://codeigniter.com/user_guide/database/active_record.html:
"CodeIgniter использует модифицированную версию шаблона базы данных Active Record. Этот шаблон позволяет получать информациюбыть извлеченными, вставленными и обновленными в вашей базе данных с минимальными сценариями. В некоторых случаях для выполнения действий над базой данных требуется только одна или две строки кода. CodeIgniter не требует, чтобы каждая таблица базы данных была его собственным файлом класса. Вместо этого он обеспечиваетболее упрощенный интерфейс.
Помимо простоты, основным преимуществом использования функций Active Record является то, что он позволяет создавать приложения, независимые от базы данных, поскольку синтаксис запроса генерируется каждым адаптером базы данных, а также обеспечивает более безопасную работу.запросы, так как значения автоматически экранируются системой. "