Som nævnt kan du ikke parametrere den grundlæggende forespørgsel, så du bliver nødt til at bygge selve forespørgslen under kørsel. Du bør hvidliste input af dette, for at forhindre injektionsangreb, men grundlæggende:
// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
"] FROM Users WHERE [email protected]; ")
prikaz.Parameters.AddWithValue("name", name);
På denne måde @name er stadig parametriseret osv.