Geef altijd de voorkeur aan optie 2, omdat ze SQL-injectiebestendig zijn. Optie 1 zorgt ervoor dat uw site binnen 5 minuten wordt gehackt, terwijl hackers het moeilijk zullen hebben om optie 2 te doorbreken.
Zelfs bij prestatie kan optie 2 een beetje sneller zijn.
Echter :Tabelnamen kunnen niet worden geëscaped met de ? dus ga daar niet heen. Zorg ervoor dat gebruikers de tabelnaam niet handmatig kunnen invoeren en u bent beschermd tegen hackers.
-edit-
Waarom zou je eigenlijk tabelnamen variabel willen maken?