Не можете да параматеризирате идентификатор (име на таблица или име на поле) в MySQL, обаче, можете да ги избягате с помощта на обратни отметки.
Следната заявка ще се изпълнява безопасно, но ще доведе до грешка, тъй като таблицата не съществува (освен ако по някакъв странен случай всъщност нямате таблица с такова име):
SELECT * FROM `users; DROP TABLE users;`;
По принцип можете да използвате динамични имена или полета, стига да са затворени в обратни отметки. За да предотвратите инжектирането на SQL по този начин, всичко, което трябва да направите, е първо да премахнете всички обратни точки:
tableName = tableName.Replace("`", "");
string commandText = "SELECT COUNT(*) FROM `" + tableName + "`";
