Использует ли mysqli_stmt :: bind_param из mysqli :: real_escape_string неявно?

Ни mysqli_stmt::bind_param не делает mysqli::real_escape_string неявно, ни вам не нужно делать это вручную.

Во-первых, экранирование - это не синоним безопасности. Привязка - это.
Так что это несравнимые дела. Пожалуйста, обратитесь к моему предыдущему ответу для объяснения: Правильное экранирование с помощью MySQLI | запрос по подготовленным операторам

Далее, bind_param все равно не использует экранирование - это другой механизм
Обратитесь к другому моему ответу с полным объяснением: Как подготовленные операторы могут защитить от атак с использованием SQL-инъекций?