准备好的语句/ sql-injection预防变量from

Question

我读到过prepare语句是避免sql注入到数据库的好方法。问题是客户想要一个安静的可变UI，他首先选择一个表，然后选择一些由列和文本组成的约束。因此，基本上(天真的)最终产品将如下所示：

Select * from %TABLENAME% where %ATTRIBUTENAME% = %VALUE%

现在的问题是如何确保安全？

当然，我可以构建一个prepare Statement解决方案，提前为所有表创建语句，但对我来说，这听起来是一个非常愚蠢的想法，因为维护这个解决方案的工作量会非常大(客户有几个表是安静的)。你知道如何以一种尽可能通用的安全方式解决这个问题吗？