Zoals vermeld, kunt u de fundamentele query niet parametriseren, dus u zult de query zelf tijdens runtime moeten bouwen. Je moet op de witte lijst zetten de input hiervan, om injectieaanvallen te voorkomen, maar fundamenteel:
// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
"] FROM Users WHERE [email protected]; ")
prikaz.Parameters.AddWithValue("name", name);
Op deze manier @name is nog steeds geparametreerd enz.