Como se ha mencionado, no puede parametrizar la consulta fundamental, por lo que deberá crear la consulta en tiempo de ejecución. Deberías lista blanca la entrada de esto, para prevenir ataques de inyección, pero fundamentalmente:
// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
"] FROM Users WHERE [email protected]; ")
prikaz.Parameters.AddWithValue("name", name);
De esta manera @name
todavía está parametrizado, etc.