Aquí hay algunas posibilidades para comenzar la conversación:

Escapar de todas las entradas en la inicialización.Escapar de cada valor, preferiblemente al generar el SQL.

La primera solución es subóptima, porque luego debe eliminar el escape de cada valor si desea usarlo en algo que no sea SQL, como enviarlo a una página web.

La segunda solución tiene mucho más sentido, pero escapar manualmente de cada valor es una molestia.

Soy consciente dedeclaraciones preparadas, sin embargo encuentroMySQLi incómodo. Además, separar la consulta de las entradas me preocupa, porque aunque es crucial obtener el orden correcto, es fácil cometer un error y, por lo tanto, escribir los datos incorrectos en los campos incorrectos.