La plupart des bases de données ne vous permettent pas de spécifier des noms de table ou de colonne via des paramètres. Les paramètres sont censés être pour les valeurs . Si vous avez vraiment, vraiment besoin que cela soit dynamique, vous devez valider l'entrée (il doit s'agir d'un nom de table connu, avec des noms de colonne connus dans cette table), puis l'inclure dans le SQL.