http://dev.mysql.com/doc/refman/5.6 /it/prepara.html dice:
Da identificatori significano nomi di database, nomi di tabelle, nomi di colonne, nomi di indici, nomi di partizioni, ecc.
Per valori di dati, intendono un valore letterale numerico, un valore letterale tra virgolette o un valore letterale di data tra virgolette.
Per aggiungere una nuova colonna, devi includere il nome di quella colonna nella stringa SQL prima di preparare la query. Ciò significa che sta a te assicurarti che non ci siano caratteri divertenti nel nome della colonna che potrebbero creare una vulnerabilità di SQL injection.
