Así es, usando consultas preparadas te evitas cualquier SQL Injection, ya que los parámetros se envían por aparte de la consulta.

Siempre tienes que limpiar los datos, es una regla ya que el único ataque no es SQL Injection, también pueden hacerte XSS, recuerda la regla de "oro", NUNCA confies en los datos que vienen del usuario, siempre valida y limpia.

Saludos.