É seguro para injeção de SQL por causa da instrução preparada. Mas tenha em mente que ecoar essas variáveis ​​em seu navegador pode causar problemas de XSS. O melhor é sempre certificar-se de que sua entrada de usuário está limpa, geralmente htmlspecialchars é suficiente para a saída, melhor é quando você limpa sua entrada de usuário antes de enviá-la ao seu banco de dados.