#59 Si TODAS las consultas están parametrizadas no te pueden hacer SQLi de ningún nivel con parámetros, pero se tiende a no usarse en sentencias select.
por si quereis probar http://www.esecforte.com/blog/second-order-sql-injection/