Como atualizar de mysql_ * para mysqli_ *?

Atualmente estou usando o código reprovado para obter dados de usuários, da seguinte maneira:

/* retrieve */
$lastName = $_POST['lastName']; 
$firstName = $_POST['firstName']; 
$examLevel=$_POST['level'];

/* connect */
$dbc=mysql_connect("localhost", "user", "passw") or die('Error connecting to MySQL server');
mysql_select_db("db") or die('Error selecting database.');

/* sanitize */
$lastName=mysql_real_escape_string($lastName);
$firstName=mysql_real_escape_string($firstName); 
$examLevel=mysql_real_escape_string($examLevel);


/* insert */
$query_personal = "INSERT INTO personal (LastName, FirstName) VALUES  ('$lastName', '$firstName')";

$query_exam = "INSERT INTO exam (Level, Centre, BackupCentre, etc.) VALUES ('$examLevel', '$centre', '$backup', 'etc')";

Isso está funcionando, mas continuo recebendo avisos sobre segurança e falta de suporte. Há uma pequena reescrita paraconectar com mysqli em vez de mysql mas e quanto amysqli_real_escape_string? Eu vi isso usado em exemplos, mas eu também vi conselhos para usar instruções preparadas em vez disso, que não usam mysqli_real_escape_string.

E como eu usaria declarações preparadas para INSERT my data? Estou um pouco no mar com esse pouco até agora. Por exemplo, a associação de parâmetros é apenas para INSERTs e a vinculação de resultados apenas para SELECTs?