Sie haben zwei Parameter (mit demselben Namen) für die prepare-Anweisung erwähnt, aber Sie geben nur einen Wert für den ersten Parameter an (worum es bei dem Fehler ging).
Nicht ganz sicher, wie PDO das Problem mit dem gleichen Parameternamen intern gelöst hat, aber Sie können das immer vermeiden.
Zwei mögliche Lösungen:
%Vor% %Vor%Übrigens hat der bestehende Weg, den Sie getan haben, immer noch Probleme mit SQL-Injection.