前述のように、基本的なクエリをパラメーター化することはできないため、実行時にクエリ自体を作成する必要があります。 ホワイトリストに登録する必要があります これは、インジェクション攻撃を防ぐための入力ですが、基本的には次のとおりです。
// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
"] FROM Users WHERE [email protected]; ")
prikaz.Parameters.AddWithValue("name", name);
こちら @name まだパラメータ化されています。