Mysqli buscar con Like Forma correcta

He estado tratando de hacer un "buscador" de palabras.. y me he topado con mil dramas...
normalmente las consultas SQL con poo yo las hago con mysqli algo así..
LUEGO
bind_param('..',$...);
EXECUTE y presto!

el problema surgió cuando traté de hacer el buscador usando los simbolos de % <- porcentaje como comodines .....
hice algo así
el problema es que BIND PARAM no funca :(
entonces le pedí que me mostrar el error y me sale..
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%?% .....
terrible..
buscando y buscando
me encontré con una forma "un poco distinta" de hacer las cosas..
y es "embeber" lo que me llega directamente como variable en el prepare
el problema con esto es que dudo de su "SEGURIDAD" al momento de procesar el temita
yo creo que es muy propenso a sql injection .... peroo quiero saber su opinion
y porfavor PLEASE diganme como se hace el LIKE con POO con mysqli! porque realmente ya he estado horas y hay muy muy poca documentación con el tema...

Hola,

"SELECT ... WHERE algo = ?"

$temp = "%$algo%";
bind_param('s', $temp);

ó

bind_param('s', sprintf("%%%s%%", $algo));

Haciendo el reemplazo que hiciste 'de otra manera' sí existe la posibilidad. Usando 'prepared statement' con 'bind param' correctamente no debería existir 'sql injection' (aunque va a depender de la implementación de mysqli, y la probabilidad es muy baja).

Saludos,