オプション2はSQLインジェクションの証拠であるため、常にオプション2を優先してください。オプション1は、5分以内にサイトをハッキングしますが、ハッカーはオプション2を破るのに苦労します。
パフォーマンスオプション2でも、少し速いかもしれません。
ただし :テーブル名は?
ではエスケープできません だからそこに行かないでください。ユーザーがテーブル名を手動で入力できないようにしてください。そうすれば、ハッカーから安全になります。
-編集-
とにかくテーブル名を可変にしたいのはなぜですか?