残念ながら、テーブル名、列名はパラメーター化できません。テーブルの構造を知っているので、このパラメーターで可能な列名のホワイトリストを作成し、文字列連結を使用して SQL インジェクションを回避できます:
"WHERE " + Sanitize(column) + " = @Value");
残念ながら、テーブル名、列名はパラメーター化できません。テーブルの構造を知っているので、このパラメーターで可能な列名のホワイトリストを作成し、文字列連結を使用して SQL インジェクションを回避できます:
"WHERE " + Sanitize(column) + " = @Value");