Ani náhodou. PDO nemůže dezinfikovat názvy sloupců nebo tabulek.
Pokud opravdu máte Chcete-li používat dynamické názvy tabulek, nejbezpečnějším způsobem, jak se s nimi vypořádat, je nekontrolovat, zda v tabulce skutečně existují, a vkládat je do dotazu běžným způsobem.
Pseudokód:
$fieldname = make_sure_this_field_really_exists($_GET["fieldname"]);
$PDO->prepare("select name, age, `$fieldname` from members where age > ? and gender = 'f';" ... );