prepare sadece SQL Injection saldirilari icin güvenli. HTML ve javascript kodlarini önlemiyor mesela.
Eger javascript gb. cookie alabilecegi kodlari da istemiyor iseniz ek bir fonk. gerekli yada array_map(); fonk. ile $_POST degiskenleri strip_tags gibi fonk calistirip filtre yaparsiniz.