Você pode não parametrize seus nomes de tabelas, nomes de colunas ou quaisquer outros objetos de banco de dados. Você pode somente parametrize seus valores.

Você precisa passá-lo como uma concatenação de strings em sua consulta sql, mas antes de fazer isso, sugiro usar strong validação ou lista branca (apenas conjunto fixo de possíveis valores corretos).

Se você quer dizer declarações parametrizadas com "funcionalidade de parâmetro", sim, está correto.

A propósito, esteja ciente, existe um conceito chamado SQL dinâmico suporta SELECT * FROM @tablename mas não é recomendado.