Достаточно ли подготовленных запросов и и проверки на спец. символы для защиты?

Всем привет!

Если на сервере установлены подготовленные запросы и обработка текста на вводе htmlspecialchars.
Этого достаточно, чтобы быть спокойным, что с вашей БД ничего не случится и пользователи не смогут получить вредоносный скрипт из базы?

И в чём разница белого листа от подготовленных запросов, и вообще, нужен ли он, если по факту подготовленный запрос исключает возможность любой манипуляции с БД со стороны, которая не предусмотрена кодом разработчика?