Non sono sicuro del motivo per cui pensi che cancellerà tutto nella tabella, poiché sono abbastanza certo che non verrà nemmeno eseguito. DELETE non richiede colonne o * da specificare. Dovrebbe essere solo DELETE FROM hotels WHERE [etc, etc] .
Inoltre, dovresti considerare seriamente di leggere questo articolo:Come:proteggere da SQL injection in ASP.NET . In particolare "Passaggio 3. Usa parametri con SQL dinamico", che descrive in dettaglio come modificare il codice per impedire l'iniezione SQL.
