Hola Keysher,

Aun cuando uses prepared statements, debes de verificar por SQL Inyection, aunque es menos probable, aun es posible asi que no te fies, es mejor comprobar el valor recuerda la regla: Nunca confiar en el contenido que te envie el usuario.

Saludos.