Puoi non parametrizza i nomi delle tabelle, i nomi delle colonne o qualsiasi altro oggetto del database. Puoi solo parametrizza i tuoi valori.
Devi passarlo come una concatenazione di stringhe sulla tua query sql, ma prima di farlo, ti suggerisco di usare strong validazione o white list (solo insieme fisso di possibile valori corretti).
Se intendi dichiarazioni parametrizzate con "funzionalità parametrica", sì, è corretto.
A proposito, tieni presente che esiste un concetto chiamato SQL dinamico
supporta SELECT * FROM @tablename
ma non è raccomandato.
