Tabellennamen, Spaltennamen können leider nicht parametrisiert werden. Da Sie die Struktur der Tabelle kennen, könnten Sie eine Whitelist möglicher Spaltennamen in diesem Parameter haben und dann eine Zeichenfolgenverkettung dafür verwenden, um eine SQL-Einschleusung zu vermeiden:
"WHERE " + Sanitize(column) + " = @Value");