Foretræk altid mulighed 2, da de er SQL-injektionssikre. Mulighed 1 vil få dit websted hacket inden for 5 minutter, mens hackere vil have svært ved at bryde mulighed 2.
Selv i ydeevne kan mulighed 2 være en lille smule hurtigere.
Men :Tabelnavne kan ikke escapes med ?
så gå ikke derhen. Bare sørg for, at brugerne ikke kan indtaste tabelnavnet manuelt, så er du sikker mod hackere.
-rediger-
Hvorfor vil du alligevel gøre tabelnavne variable?