Предотвращение SQL-инъекций в запросах только для INSERT. Насколько это важно?

Я впервые создаю PHP-форму, которая будет запускать MySQL-запрос с использованием INSERT INTO для хранения данных в производственной БД. Будет ли это считаться «безопасным» или это чрезмерное убийство?

$orderText = $mysqli->real_escape_string(stripslashes(htmlentities((!isset($_POST["order_text"])?"undefined":$_POST["order_text"]))));
$stmt = $mysqli->prepare("INSERT INTO testtable (order_text) VALUES (?)");
$stmt->bind_param('s',$orderText);
$stmt->execute();

Я не уверен, как отсутствие SELECT * влияет на степень риска, которому я подвергаюсь, но похоже на сценарий, который только использует INSERT безопаснее. Верно?