Su lógica mysqli parece estar bien, hay algunos ejemplos en el manual de PHP aquí por si no los has visto.
Sin embargo, ¿por qué está seleccionando la identificación cuando no la está consumiendo? Además, realmente no necesita vincular un resultado cuando solo se devolverá una fila en el conjunto de resultados completo, como supongo que sucederá en este caso (el ID es un índice único en la tabla), use get_result en su lugar.
El uso de mysqli prepare protegerá contra todos los ataques de inyección comunes, pero no contra el estilo de día 0 que aún no ha llegado al controlador.
