Es seguro para inyección SQL debido a la declaración preparada. Pero tenga en cuenta que hacer eco de esas variables en su navegador puede causar problemas XSS. Lo mejor es asegurarse siempre de que la entrada del usuario esté limpia, por lo general, htmlspecialchars es suficiente para la salida, mejor es cuando limpia la entrada del usuario antes de enviarla a su base de datos.