Потому что prepared statements для того и существуют, чтобы делать шаблон запроса, и потом просто подставлять в него данные в чистом виде, а при выполнении полученного запроса библиотека сама позаботится, чтобы каждый аргумент был проэкранирован и не смог повлиять на строку запроса.