Niestety nazwy tabel, nazwy kolumn nie mogą być parametryzowane. Ponieważ znasz strukturę tabeli, możesz mieć białą listę możliwych nazw kolumn w tym parametrze, a następnie użyć konkatenacji ciągów, aby uniknąć wstrzyknięcia SQL:
"WHERE " + Sanitize(column) + " = @Value");
