Sí, lo sé, esa es la mejor máxima, nunca fiarse de los datos de entrada. Lo que me recuerda al típico refŕan de "Si lo haces a pruebas de idiotas, te toparás con un idiota mejor".

Lo preguntaba por si esos métodos ya hacían esa validación (hay que ser cauto, pero tampoco es muy recomendable duplicar comprobaciones).

Siendo clases, supongo que no sería muy complicado crear una clase que herede mysqli e implementar un método que, además de preparar el statement, también compruebe los campos para evitar sorpresas.

Gracias y un saludo!!