Ai fini delle SQL injections sei a posto, usando i prepared statements non c'e' nessun rischio a passare i dati da $_POST direttamente. Pero' mi spieghi a cosa servono tutte quelle virgolette e punti intorno a $_POST['nome']