http://dev.mysql.com/doc/refman/5.6 /da/prepare.html siger:
Af identifikatorer de betyder databasenavne, tabelnavne, kolonnenavne, indeksnavne, partitionsnavne osv.
Med dataværdier betyder de en numerisk literal, citeret streng literal eller citeret dato literal.
For at tilføje en ny kolonne skal du inkludere navnet på den kolonne i SQL-strengen, før du forbereder forespørgslen. Det betyder, at det er op til dig at sikre, at der ikke er sjove tegn i kolonnenavnet, der kan skabe en SQL-injektionssårbarhed.