Не съм сигурен защо мислите, че това ще изтрие всичко в таблицата, тъй като съм почти сигурен, че дори няма да се изпълни. DELETE не изисква никакви колони или * да се уточни. Трябва просто да е DELETE FROM hotels WHERE [etc, etc] .
Освен това трябва сериозно да обмислите да прочетете тази статия:Как да:Защита от SQL инжектиране в ASP.NET . Особено „Стъпка 3. Използвайте параметри с динамичен SQL“, която подробно описва как можете да промените кода си, за да предотвратите инжектиране на SQL.
