当我必须动态创建sql语句时，如何使用参数来防止sql注入

我有一个部分可能的代码，如下所示。我必须通过使用类似添加代码的参数来防止SQL注入

myCommand.Parameters.AddWithValue("@mystring", myString);

有可能使用它吗？

因为我有一些动态参数，比如"选择XXX，XXX，……"。

count = myStringLists.count;
sql.Append(" select");
foreach(string myString in myStringLists)
{    
    sql.Append(string.Format("{0} ", myString));
    if ((count--) > 1) sql.Append("'n ,"); else sql.Append("'n  ");
}