Eloquent fait les déclarations préparées dans le style PDO dans les coulisses pour se protéger contre des choses comme l'injection sql. Les modèles éloquents protègent également contre l'affectation de masse par défaut. Une exception sera levée sauf si vous notez spécifiquement les colonnes de la base de données qui doivent être gardées ou l'inverse (celles qui doivent être remplissables).
http://laravel.com/docs/4.2/eloquent#mass-assignment
Si vous voulez approfondir, vous pouvez regarder la classe
/vendor/laravel/framework/src/Illuminate/Database/Query/Builder.php`
pour voir comment laravel construit les requêtes dans Eloquent.