В документацията на подготвеното изявление на Kohana се посочва
Въпреки че всички параметри са екранирани, за да се предотврати инжектирането на SQL, все пак е добра идея да потвърдите/дезинфекцирате входа си.
От това, което прочетох в подготвените изрази, останах с впечатлението, че обвързващите параметри предотвратяват SQL инжектирането. Ако това не е така, какъв метод за саниране/бягство трябва да използвам, преди да обвържа променливите?