Für das was du hier vorhast (Daten von X nach Y pumpen) brauchst du nur

• select a,b,c,d from abc
• create table def(a sometype, b sometype,c sometype,d sometype)
• insert into def(a,b,c,d) values(:a,:b,:c,:d)

Der Unterschied ist, dass lokale DBs immer ungeschützt sind.
Aber wie ich als "a)" bereits sagte, Parameter in dem Insert-Statement verhindern SQL Injections. Die Werte kommen als Variablen rein und der Parser hat nie etwas mit den Inhalten der Variablen zu tun.
SQL Injections sollte es seit Jahren eigentlich nur by diesen schrecklichen mysql_BLABLA PHP Krempel geben.

Überall sonst hat man Parameter zur Verfügung und sollte die auch immer benutzen Denn wer Werte in SQLs reinfriemelt frisst auch kleine Kinder!