Desværre kan tabelnavne, kolonnenavne ikke parametriseres. Fordi du kender strukturen af tabellen, kan du have en hvidliste over mulige kolonnenavne i denne parameter og derefter bruge strengsammenkædning for at undgå SQL-injektion:
"WHERE " + Sanitize(column) + " = @Value");