Puedes no parametrice los nombres de sus tablas, nombres de columnas o cualquier otro objeto de la base de datos. Puede solo parametriza tus valores.
Debe pasarlo como una concatenación de cadenas en su consulta sql, pero antes de hacerlo, le sugiero que use strong validación o lista blanca (solo conjunto fijo de posible valores correctos).
Si te refieres a declaraciones parametrizadas con "funcionalidad de parámetros", sí, eso es correcto.
Por cierto, tenga en cuenta que existe un concepto llamado SQL dinámico
admite SELECT * FROM @tablename
pero no es recomendable.
