Hazırlanmış deyimleri ve mysqli_stmt_bind_param kullanırken bir enjeksiyon riski hala var mı?

Örneğin:

$malicious_input = 'bob"; drop table users';
mysqli_stmt_bind_param($stmt, 's', $malicious_input);

Perde arkasında mysql için bu sorgu dizesi geçmek mysqli_stmt_bind_param yapar:

SET @username = "bob"; drop table users";

Yoksa API aracılığıyla SET komutu gerçekleştir veya oluyor bu tutmak için koruma çeşit kullanıyor?