Sql injectie vraag

Hallo mensen ik zit met een vraag.

Ik ben op dit moment bezig met het maken van een webservice en ik ben dus dingen gaan lezen over sql injectie.

Nu is mijn vraag eigenlijk het volgende:
Als ik gebruik maak van prepared statements bij het uitvoeren van een query zou dit dan al voldoende beveiliging zijn tegen sql injectie? Of moet ik ook mysql_real_escape_string() gaan toepassen?

Nee, met prepared statements heb je dat probleem niet, omdat de query apart van de in te vullen data naar de DB verstuurd wordt. (Indien correct toegepast natuurlijk)