http://dev.mysql.com/doc/refman/5.6 /es/preparar.html dice:
Por identificadores se refieren a nombres de bases de datos, nombres de tablas, nombres de columnas, nombres de índices, nombres de particiones, etc.
Por valores de datos, se refieren a un literal numérico, un literal de cadena entre comillas o un literal de fecha entre comillas.
Para agregar una nueva columna, debe incluir el nombre de esa columna en la cadena SQL antes de preparar la consulta. Esto significa que depende de usted asegurarse de que no haya caracteres divertidos en el nombre de la columna que puedan crear una vulnerabilidad de inyección SQL.