आप किसी पहचानकर्ता को पैरामीटर नहीं बना सकते (तालिका नाम या फ़ील्ड नाम) MySQL में, हालांकि, आप बैकटिक्स का उपयोग करके उनसे बच सकते हैं।
निम्न क्वेरी सुरक्षित रूप से चलेगी लेकिन एक त्रुटि उत्पन्न करेगी क्योंकि तालिका मौजूद नहीं है (जब तक कि कुछ अजीब संयोग से आपके पास वास्तव में इस तरह की एक तालिका नहीं है):
SELECT * FROM `users; DROP TABLE users;`;
मूल रूप से, आप गतिशील नाम या फ़ील्ड का उपयोग तब तक कर सकते हैं जब तक वे बैकटिक्स में संलग्न हों। SQL इंजेक्शन को इस तरह से रोकने के लिए, आपको बस इतना करना है कि पहले किसी भी बैकटिक्स को हटा दें:
tableName = tableName.Replace("`", "");
string commandText = "SELECT COUNT(*) FROM `" + tableName + "`";