Допустим, сейчас это так. А потом появится REST API, какой-нибудь json_decode и опаньки PWNEDно туда не может попасть пробел, ведь я сам ввожу код, а пользователь не сможет выбрать колонку, в которую вводить
да и у объектов свойства не могут начинаться с пробела
По сути-то ты пытаешься написать простейший query builder, то есть задачей построения запросов. Посмотри, как сделано тут:
https://github.com/auraphp/Aura.SqlQuery