http://dev.mysql.com/doc/refman/5.6 /en/prepare.html diz:

Por identificadores eles significam nomes de banco de dados, nomes de tabelas, nomes de colunas, nomes de índices, nomes de partições, etc.

Por valores de dados, eles significam um literal numérico, um literal de string entre aspas ou um literal de data entre aspas.

Para adicionar uma nova coluna, você precisa incluir o nome dessa coluna na string SQL antes de preparar a consulta. Isso significa que cabe a você garantir que não haja caracteres engraçados no nome da coluna que possam criar uma vulnerabilidade de injeção de SQL.