http://dev.mysql.com/doc/refman/5.6 /en/prepare.html zegt:
Door ID's ze betekenen databasenamen, tabelnamen, kolomnamen, indexnamen, partitienamen, enz.
Met gegevenswaarden bedoelen ze een letterlijke numerieke waarde, een letterlijke tekenreeks tussen aanhalingstekens of een letterlijke datum tussen aanhalingstekens.
Om een nieuwe kolom toe te voegen, moet u de naam van die kolom in de SQL-tekenreeks opnemen voordat u de query voorbereidt. Dit betekent dat het aan jou is om ervoor te zorgen dat er geen grappige tekens in de kolomnaam staan die een kwetsbaarheid voor SQL-injectie kunnen veroorzaken.