Mmm no del todo, la idea casi la tienes pero no es como se usa.

Primero que nada este es el enlace al manual http://php.net/manual/es/mysqli-stmt.bind-param.php

basicamente el bind_param, se encarga de cambiar los ? por el valor correspondiente. Al mismo tiempo impide inyecciones sql, y evita muchos errores en los datos, como por ejemplo tu problema con los '

Ahi tenes un ejemplo completo de como usar la funcion.