For at hjælpe med at beskytte mod SQL-injektion prøver jeg normalt at bruge funktioner, hvor det er muligt. I dette tilfælde kan du gøre:
...
SET @TableName = '<[db].><[schema].>tblEmployees'
SET @TableID = OBJECT_ID(TableName) --won't resolve if malformed/injected.
...
SET @SQLQuery = 'SELECT * FROM ' + OBJECT_NAME(@TableID) + ' WHERE EmployeeID = @EmpID'