Nie możesz sparametryzować identyfikatora (nazwa tabeli lub nazwa pola) w MySQL, jednak możesz je zmienić za pomocą backticków.
Poniższe zapytanie zostanie wykonane bezpiecznie, ale spowoduje błąd, ponieważ tabela nie istnieje (chyba że z jakiegoś dziwnego powodu faktycznie masz tabelę o takiej nazwie):
SELECT * FROM `users; DROP TABLE users;`;
Zasadniczo możesz używać dynamicznych nazw lub pól, o ile są one ujęte w znaki wsteczne. Aby w ten sposób zapobiec wstrzyknięciu SQL, wszystko, co musisz zrobić, to najpierw usunąć wszelkie błędy:
tableName = tableName.Replace("`", "");
string commandText = "SELECT COUNT(*) FROM `" + tableName + "`";
