Sua lógica mysqli parece boa, existem alguns exemplos no manual PHP aqui caso não os tenha visto.

Por que você está selecionando o ID quando não está consumindo? Além disso, você realmente não precisa vincular um resultado quando ele só terá uma linha retornada no conjunto de resultados completo, como suponho que acontecerá neste caso (ID é índice exclusivo na tabela), use get_result em vez de.

Usar o mysqli prepare protegerá contra todos os ataques de injeção comuns, mas não coisas de estilo 0-day que ainda não chegaram ao driver.