Использую prepared statements, чтобы обезопасить работу с бд. Может ли тут проскочить инъекция?

if (isset($_POST['text']) {

$stmt = $mysqli->prepare("INSERT INTO messages (text,writer,reader,date) VALUES (?, ?, ?, ?)"); 
$stmt->bind_param('ssss',  $text, $writer, $reader, $date); 


  $text = $_POST['text'];
  $writer = $login;
$reader=$_GET["reader"];
 $date = date('Y-m-d H:m:s');

/* выполнение подготовленного выражения  */ 
$stmt->execute(); 

вроде все ок.

$reader=isset($_GET["reader"])? $_GET["reader"] : "";


_____________
↓↓↓↓↓↓↓↓↓↓
ответ может быть здесь
или в mysql_error();