Jak już wspomniano, nie można sparametryzować podstawowego zapytania, więc będziesz musiał zbudować samo zapytanie w czasie wykonywania. Powinieneś spisać białą listę wkład tego, aby zapobiec atakom iniekcji, ale zasadniczo:
// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
"] FROM Users WHERE [email protected]; ")
prikaz.Parameters.AddWithValue("name", name);
W ten sposób @name jest nadal sparametryzowany itd.
