http://dev.mysql.com/doc/refman/5.6 /cs/prepare.html říká:
Podle identifikátorů znamenají názvy databází, názvy tabulek, názvy sloupců, názvy indexů, názvy oddílů atd.
Hodnoty dat znamenají číselný literál, řetězcový literál v uvozovkách nebo literál data v uvozovkách.
Chcete-li přidat nový sloupec, musíte před přípravou dotazu zahrnout název tohoto sloupce do řetězce SQL. To znamená, že je na vás, abyste zajistili, že v názvu sloupce nebudou žádné vtipné znaky, které by mohly způsobit zranitelnost vkládání SQL.