PHP: Подготовленные операторы (новичок), просто нужно подтвердить это о SQL-инъекции

Я давно использую mysql_query () для выполнения своих задач, но теперь я перехожу на подготовленные операторы по двум причинам:
производительность и отсутствие возможности внедрения sql

Вот как я его использую:

function add_new_user($e_mail1,$username,$pass)
    {
    require_once "db.php";

$stmt = $mysqli->prepare("INSERT INTO un_users VALUES ('',?, ?,0,0,?,0)");
$stmt->bind_param('sss', $e_mail1, $username,$pass); 

$stmt->execute();    
$stmt->close();
    }

Я не очищаю три переменные ($ e_mail1, $ username, $ pass) , когда я передаю их функции или что-нибудь еще.

Правильно ли я делаю, или я где-то облажался, или нужно что-то еще сделать? Я новичок в этом (все еще просматриваю документацию), так что не стесняйтесь поделиться своими знаниями: D

Спасибо!