http://dev.mysql.com/doc/refman/5.6 /pl/przygotowanie.html mówi:
Według identyfikatorów mają na myśli nazwy baz danych, nazwy tabel, nazwy kolumn, nazwy indeksów, nazwy partycji itp.
Przez wartości danych oznaczają literał liczbowy, literał ciągu w cudzysłowie lub literał daty w cudzysłowie.
Aby dodać nową kolumnę, musisz podać nazwę tej kolumny w ciągu SQL przed przygotowaniem zapytania. Oznacza to, że od Ciebie zależy, czy w nazwie kolumny nie ma śmiesznych znaków, które mogłyby spowodować podatność na wstrzyknięcie SQL.