防止非select SQL语句

我允许用户输入他们自己的SQL语句来执行，但仅限于SELECT语句。是否有一种方法来检测SQL语句是什么，但这，即ALTER, INSERT, DROP等?我将担心其他问题，比如查询锁住一个表等，但现在这更多的是一个概念证明。我可以限制运行应用程序的服务器上的服务帐户对数据库具有只读权限，但我有兴趣看到它在应用程序中处理。

这是我通过检测查询的第一个单词来实现的方法，但这似乎很脆弱。有没有更干净的方法来做这个检测?

public void ExecuteQuery(string connectionString, int id)
{
    //The SQL statement will be user input
    var sql = "SELECT ColumnA, ColumnB, ColumnC FROM MyTable where MyTableId = @Id";
    var split = sql.Split(' ');
    if (split[0].ToUpper() != "SELECT") Console.WriteLine("Only use a SELECT statement.");
    else
    {
        using (var connection = new SqlConnection(connectionString))
        using (var cmd = new SqlCommand(sql, connection))
        {
            cmd.Parameters.AddWithValue("@Id", SqlDbType.Int);
            cmd.Parameters["@Id"].Value = id;
            connection.Open();
            var reader = cmd.ExecuteReader();
            try
            {
                while (reader.Read())
                {
                    Console.WriteLine($"{reader["ColumnA"]}, {reader["ColumnB"]}, 
                                       {reader["ColumnC"]}");
                }
            }
            finally
            {
                reader.Close();
            }
            cmd.ExecuteNonQuery();
        }
    }
}