http://dev.mysql.com/doc/refman/5.6 /en/prepare.html säger:
Av identifierare de betyder databasnamn, tabellnamn, kolumnnamn, indexnamn, partitionsnamn, etc.
Med datavärden menar de en numerisk bokstavlig, citerad sträng bokstavlig eller citerad datumliteral.
För att lägga till en ny kolumn måste du inkludera namnet på den kolumnen i SQL-strängen innan du förbereder frågan. Det betyder att det är upp till dig att se till att det inte finns några roliga tecken i kolumnnamnet som kan skapa en SQL-injektionssårbarhet.