U kunt de tabelnaam niet rechtstreeks parametreren. U kunt het indirect doen via sp_ExecuteSQL
, maar je kunt net zo goed de (geparametriseerde) TSQL in C# bouwen (de tabelnaam aaneenschakelen, maar niet de andere waarden) en deze als een opdracht naar beneden sturen. Je krijgt hetzelfde beveiligingsmodel (d.w.z. je hebt expliciete SELECT nodig, enz., en ervan uitgaande dat het niet is ondertekend, enz.).
Zorg er ook voor dat u de tafelnaam op de witte lijst zet.