zu 1.: Mit prepared-Statements erzählst du der Datenbank erstmal, was passieren soll mit Platzhaltern und lieferst die Daten anch. Die Daten können also nicht mehr den Ablauf verändern (was ja die Gefahr von Injections ist) weil der Ablauf (was eigentlich gemacht werden soll) schon feststeht, wenn die Daten ins Spiuel kommen.

zu 2.: vergebliche Liebesmühe. Wenn jemand unbedingt an der Datenbank herummanipulieren will, und deine Anwendung hat, musst du davon ausgehen, dass er sie nach belieben verändern könnte.
Dieses ganze absichern ist vor allem wichtig gegen Fehleingaben (absichlich oder unabsichtlich) und bei serverseitigen Systemen (aka Website) wo der User sogar als Angreifer betrachtet werden muss. Eine Sicherung gegen unbefugtes manipulieren sollte sowiso vorhanden sein. (gesichertes LAN oder Zugangsdaten zur Datenbank)