http://dev.mysql.com/doc/refman/5.6 /bg/prepare.html казва:
По идентификатори те означават имена на бази данни, имена на таблици, имена на колони, имена на индекси, имена на дялове и т.н.
Под стойности на данни те означават числов литерал, низов литерал в кавички или литерал за дата в кавички.
За да добавите нова колона, трябва да включите името на тази колона в SQL низа, преди да подготвите заявката. Това означава, че от вас зависи да гарантирате, че в името на колоната няма забавни знаци, които биха могли да създадат уязвимост при SQL инжекция.