http://dev.mysql.com/doc/refman/5.6 /en/prepare.html 言う:
識別子 データベース名、テーブル名、列名、インデックス名、パーティション名などを意味します。
データ値とは、数値リテラル、引用符で囲まれた文字列リテラル、または引用符で囲まれた日付リテラルを意味します。
新しい列を追加するには、クエリを準備する前に、その列の名前をSQL文字列に含める必要があります。これは、SQLインジェクションの脆弱性を引き起こす可能性のある面白い文字が列名に含まれていないことを確認するのはあなた次第であることを意味します。