Du kan ikke paramaterisere en identifikator (tabelnavn eller feltnavn) i MySQL, men du kan undslippe dem ved at bruge backticks.
Følgende forespørgsel vil køre sikkert, men producerer en fejl, fordi tabellen ikke eksisterer (medmindre du ved en underlig chance faktisk har en tabel med navn som dette):
SELECT * FROM `users; DROP TABLE users;`;
Som udgangspunkt kan du bruge dynamiske navne eller felter, så længe de er omgivet af backticks. For at forhindre SQL-injektion på denne måde, er det eneste, du skal gøre, at fjerne eventuelle backticks først:
tableName = tableName.Replace("`", "");
string commandText = "SELECT COUNT(*) FROM `" + tableName + "`";