Infelizmente nomes de tabelas, nomes de colunas não podem ser parametrizados. Como você conhece a estrutura da tabela, você pode ter uma lista branca de possíveis nomes de coluna neste parâmetro e, em seguida, usar a concatenação de strings para evitar a injeção de SQL:
"WHERE " + Sanitize(column) + " = @Value");
