O Eloquent faz as declarações preparadas no estilo PDO nos bastidores para proteger contra coisas como injeção de sql. Modelos eloquentes também protegem contra atribuição em massa por padrão. Uma exceção será lançada, a menos que você observe especificamente as colunas do banco de dados que devem ser protegidas ou o inverso (as que devem ser preenchíveis).
http://laravel.com/docs/4.2/eloquent#mass-assignment
Se você quiser aprofundar mais, você pode olhar para a classe
/vendor/laravel/framework/src/Illuminate/Database/Query/Builder.php`
para ver como o laravel constrói as consultas no Eloquent.
