Helaas kunnen tabelnamen, kolomnamen niet worden geparametriseerd. Omdat je de structuur van de tabel kent, zou je een witte lijst met mogelijke kolomnamen in deze parameter kunnen hebben en vervolgens stringconcatenatie ervoor kunnen gebruiken om SQL-injectie te voorkomen:
"WHERE " + Sanitize(column) + " = @Value");