hi,

Erspart einem das auch endlich das  escapen?

Ja, tut es wohl.
Wird in der Doku nicht erwähnt, aber die ist ja generell noch etwas spärlich.

Ich habe es aber mit ein paar Beispielwerten ausprobiert, die auch kritische Sonderzeichen enthielten, und damit keine Fehler bekommen, sondern den gewünschten Erfolg gehabt.

Ich habe gerade mysqli_real_escape_string gefunden, in den Beispielen arbeiten sie nur mit handgeschriebenen Queries,

Und eben dafür gibt's das da wohl auch noch analog zur gleichnamigen Funktion bei der normalen mysql-Erweiterung - denn man kann ja mit mysqli_query() immer noch auf die "alte" Weise Query-Strings direkt an MySQL übergeben.

aber nicht mit prepared statements. Eigentlich dürfte es so ja keinen Grund mehr für Maskierung geben...

Nö, gibt's dann auch nicht mehr, wenn man die Query ordentlich "prepared".
Um die eventuelle Maskierung kümmert sich bind_param() also ebenso, je nach angegebenem Typ des Parameters, wie darum, ob im letztendlich erzeugten Query-String dann Hochkommata drumherum müssen oder nicht.
(Ich habe nur noch nicht ausprobiert, was passiert, wenn man den Typ _nicht_ korrekt angibt - also beim Parameter-binden beispielsweise 'i' angibt, und dann aber doch einen alphanummerischen String übergibt ...)

Aber auf jeden Fall gefällt mit an mysqli, dass man das auch als Objekt nutzen kann.

gruß,
wahsaga