Eu tenho procurado uma maneira de inserir um nome de tabela variável e parece que a melhor maneira é usar SQL dinâmico, embora possa levar a injeção de SQL. Alguém pode demonstrar como isso é feito em c #? Por exemplo, eu quero algo para implementar algo como isto:

 SqlCommand command= new SqlCommand("SELECT x FROM @table WHERE @column = @y", conn);

Como você pode ver, o nome da tabela e o nome da coluna seriam variáveis. Eu estava usando a concatenação de strings antes, mas quero evitar isso por motivos de segurança. Não tenho certeza se isso é importante, mas a tabela e a coluna não são determinadas pela entrada do usuário, mas realmente determinadas pelos links que o usuário seleciona, então talvez a injeção de SQL não seja um problema aqui?