Ne yalan konulayım prepare ne kadar güvenlidir ve ne kadar detaylı bir temizlik yapıyor bilmediğim için kullanıyorum. Direk $_POST verisini kullansam problem yaşamaz mıyım yani?
prepare sadece SQL Injection saldirilari icin güvenli. HTML ve javascript kodlarini önlemiyor mesela.
Eger javascript gb. cookie alabilecegi kodlari da istemiyor iseniz ek bir fonk. gerekli yada array_map(); fonk. ile $_POST degiskenleri strip_tags gibi fonk calistirip filtre yaparsiniz.