A maioria dos bancos de dados não permite que você especifique nomes de tabelas ou colunas por meio de parâmetros. Os parâmetros devem ser para valores . Se você realmente precisa que isso seja dinâmico, você deve validar a entrada (deve ser um nome de tabela conhecido, com nomes de coluna conhecidos dentro dessa tabela) e incluir isso no SQL.