Jak již bylo zmíněno, nemůžete parametrizovat základní dotaz, takže budete muset vytvořit samotný dotaz za běhu. Měli byste přidat na seznam povolených vstup tohoto, aby se zabránilo injekčním útokům, ale zásadně:
// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
"] FROM Users WHERE [email protected]; ")
prikaz.Parameters.AddWithValue("name", name);
Tímto způsobem @name
je stále parametrizován atd.