Sayangnya nama tabel, nama kolom tidak dapat diparametrikan. Karena Anda mengetahui struktur tabel, Anda dapat memiliki daftar putih dari kemungkinan nama kolom dalam parameter ini dan kemudian menggunakan rangkaian string untuk menghindari injeksi SQL:
"WHERE " + Sanitize(column) + " = @Value");
Penyimpanan otomatis Formulir ASP.NET
Mengapa dan kapan LEFT JOIN dengan kondisi di klausa WHERE tidak setara dengan LEFT JOIN yang sama di ON?
Mengatasi SQL Server Database Terjebak dalam Masalah Mode Tersangka Secara Efisien
Mendapatkan Kesalahan:Kesalahan mengonversi tipe data nvarchar ke numerik dalam SQL
Memilih Prosesor untuk SQL Server 2012
