Я выполняю запрос SQL (system.data.SQLite) следующим образом:
var color = "red";
var command = new SQLiteCommand("SELECT something FROM tabletop WHERE color = '" + color + "'", Connection);
var reader = command.ExecuteReader();
Переменная цвета — это текст, предоставленный пользователем. Как я могу избежать этого текста, чтобы предотвратить внедрение SQL? Или это плохая практика, и я должен выполнить запрос совершенно другим «защищенным» способом?