Eloquent fa le dichiarazioni preparate in stile PDO dietro le quinte per proteggersi da cose come l'iniezione di sql. I modelli eloquenti proteggono anche dall'assegnazione di massa per impostazione predefinita. Verrà generata un'eccezione a meno che tu non annoti in modo specifico le colonne del database che dovrebbero essere protette o le inverse (quelle che dovrebbero essere compilabili).
http://laravel.com/docs/4.2/eloquent#mass-assignment
Se vuoi approfondire, puoi guardare la classe
/vendor/laravel/framework/src/Illuminate/Database/Query/Builder.php`
per vedere come laravel costruisce le query in Eloquent.
