Dudas sobre cuando utilizar Prepared Statement.

Hola.

Estoy haciendo un proyecto (mi primer proyecto) de PHP y haciendo algunos métodos para obtener datos de la DB me ha saltado una duda.

Tengo todos los métodos que reciben argumentos con prepared statement, pero mi duda es:

¿Se usa también cuando por ejemplo se recibe un int? Se supone que por ahí no se puede inyectar código malicioso, verdad? O si? Estoy muy verde en esto.

Y otra duda. Si el parámetro que recibe el método no llega desde un cuadro de texto, es decir, llega desde una variable generada en código PHP a la que el usuario no tiene acceso de ninguna forma, ¿también se debe usar prepared statements?

A lo mejor lo establecido es usarlo siempre, no sé.

Gracias.

Habitualmente se hace un clean de cualquier argumento pasado por POST o GET antes de usarlo en tu query. El tema es bastante viejo y hay miles de tutoriales, pero empieza por alguno: https://www.dreamhost.com/blog/php-security-user-validation-sanitization/

Jorge