Aquí está todo sobre mysqli_stmt (insisto porque es más rápida que PDO)

http://co.php.net/manual/es/class.mysqli-stmt.php

Básicamente consiste en preparar una consulta con espacios en blanco (representados por símbolos "?") que son rellenados por medio de mysqli_bind_param y estos a su ven poseen variables escapadas

Ahí mismo hay ejemplos

Espero puedas implementarlo