Le prepared statements servono ad ottimizzare le query analizzandole prima che vengano lanciate. In particolare, se lanci più volte una stessa query cambiando solo i parametri di input, l'analisi viene fatta una volta sola, con notevole risparmio di risorse.

Però per potere fare questa analisi il database deve capire che cosa vuol fare esattamente la query. Quindi l'unica parte variabile possono essere i dati da confrontare con i valori delle colonne.
In sostanza, la prepared statement non è una stringa qualsiasi nella quale puoi mettere le variabili dove pare a te.