Historicamente, eu sempre usei

mysql_real_escape_string()

para todas as entradas derivadas de usuários que acabam tocando o banco de dados.

Agora que eu convertei completamente para o MySQLi e estou usando consultas preparadas com parâmetros vinculados, eu efetivamente eliminei a possibilidade de ataques de injeção SQL?

Estou correto em dizer que não preciso mais

mysql_real_escape_string()?

Este é o meu entendimento e a base de um projeto meu:http://sourceforge.net/projects/mysqldoneright/files/Base/MysqlDoneRight-0.23.tar.gz/download

Isso não é algo que eu queira errar, já que agora que eu o lancei, poderia afetar outros também.

Toda entrada fornecida pelo usuário terminará em bind_parms.
As consultas fornecidas na fase de preparação são estáticas.