Witam,
Teoretycznie prepare jest wystarczające. Jednak jeśli masz możliwość dodatkowej filtracji danych, to lepiej zabezpieczyć się bardziej. Możesz użyć htmlspecialchars() albo htmlentities(), sprawdzić czy użyto jakichś nieodpowiednich znaków itd.
Do tego warto dodać jakieś atrybuty PDO np. ATTR_EMULATE_PREPARES ustawić na false.
Wtedy będziesz miał pewność, że Twoja strona odporna jest na atak SQL Injection.