Tyvärr kan tabellnamn, kolumnnamn inte parametriseras. Eftersom du känner till tabellens struktur kan du ha en vitlista med möjliga kolumnnamn i den här parametern och sedan använda strängsammansättning för att undvika SQL-injektion:
"WHERE " + Sanitize(column) + " = @Value");