Seperti yang telah disebutkan, Anda tidak dapat membuat parameter kueri mendasar, jadi Anda harus membuat kueri itu sendiri saat runtime. Anda harus daftar putih masukan ini, untuk mencegah serangan injeksi, tetapi pada dasarnya:
// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
"] FROM Users WHERE [email protected]; ")
prikaz.Parameters.AddWithValue("name", name);
Lewat sini @name masih diparameterisasi dll.
