Использование PHP PDO предотвращает SQL injection?

Нет!

Подготовленные выражения используются для снижения нагрузки на СуБД за счёт разбора каждого типового запроса лишь один раз.

Для защиты от инъекций используется раздельная передача параметров и запроса, что возможно как для подготовленных запросов, так и для обычных.