http://dev.mysql.com/doc/refman/5.6 /en/prepare.html sagt:
Nach Identifikatoren sie bedeuten Datenbanknamen, Tabellennamen, Spaltennamen, Indexnamen, Partitionsnamen usw.
Mit Datenwerten ist ein numerisches Literal, ein Zeichenfolgenliteral in Anführungszeichen oder ein Datumsliteral in Anführungszeichen gemeint.
Um eine neue Spalte hinzuzufügen, müssen Sie den Namen dieser Spalte in die SQL-Zeichenfolge aufnehmen, bevor Sie die Abfrage vorbereiten. Das bedeutet, dass Sie sicherstellen müssen, dass der Spaltenname keine komischen Zeichen enthält, die eine SQL-Injection-Schwachstelle erzeugen könnten.