В документации по подготовленному оператору Kohana указано
Несмотря на то, что все параметры экранированы для предотвращения SQL-инъекций, все же рекомендуется проверять/очищать введенные данные.
Из того, что я прочитал в подготовленных операторах, у меня сложилось впечатление, что параметры привязки предотвращают внедрение SQL. Если это не так, какой метод очистки/экранирования следует использовать перед привязкой переменных?