Föredrar alltid alternativ 2, eftersom de är SQL-injektionssäkra. Alternativ 1 kommer att få din webbplats hackad inom 5 minuter, medan hackare kommer att ha svårt att bryta alternativ 2.
Även i prestanda kan alternativ 2 vara lite snabbare.
Men :Tabellnamn kan inte escapes med ?
så gå inte dit. Se bara till att användare inte kan ange tabellnamnet manuellt så är du säker från hackare.
-redigera-
Varför skulle du vilja göra tabellnamn variabla ändå?