prepare ile değişkenleri belirtip execute ile değişkenleri vermeniz en güzeli olucaktır. Kullandığınız şekil normal mysql query ile bir farkı pek yok maalesef. mysql_escape_string gibi fonksiyonlar da kaldırıldı bildiğim kadarıyla muadili bulmak yerine bahsettiğim şekilde yapıp devam etmeniz en güzeli olur. Harici olarak is_numeric gibi fonksiyonları kullanıp sorguyu erkenden kesmeniz performans açısından bir artı olucaktır , mysql sunucusu yok yere sorgulama işlemi yapmamış olur. Kolay gelsin