dodanie parametru do command

Hej,

mam zapytanie

select * from tabela where @param

mój param dostaję z nadrzędnej aplikacji i fizycznie wygląda on tak: " poleX=123 and poleY=324435 and poleZ=454353"
kiedy do command dodaje parameter.addWithValue(@param, mojParamAplikacjiNadrzednej) dostaję
base = {"An expression of non-boolean type specified in a context where a condition is expected, near '@param'."}

nie chcę doklejać do zapytania tego stringa aby uniknąć potencjalnego Sql Injection.
Jak dodać takiego stringa to query?

takiego stringa nie da się dodać jako parametr a jedynie dokleić do zapytania. Jeśli już to musiał byś to sam parsować, wyciągać nazwę pola i wartość, sprawdzać czy nie ma dziwnych elementów itd