Не трябва да никога създаване на командни текстове чрез свързване на низове. Използвайте SqlParameter . Това означава да поставим нещата на първо място.
И ми се струва, че нямате (или много малко) разбиране как работи достъпът до данни в .net. Затова бих ви препоръчал да прочетете някои книги по тази тема, например „Достъп до данни с .NET Framework 4“ на Microsoft.
