Винаги предпочитайте опция 2, тъй като те са доказателство за SQL инжекция. Опция 1 ще доведе до хакване на сайта ви в рамките на 5 минути, докато хакерите ще имат трудности да разбият опция 2.
Дори при вариант за изпълнение 2 може да е малко по-бърз.
Въпреки това :Имената на таблици не могат да бъдат екранирани с ?
така че не ходи там. Просто се уверете, че потребителите не могат да въвеждат името на таблицата ръчно и ще бъдете в безопасност от хакери.
-редактиране-
Защо все пак искате да направите имената на таблици променливи?