Nie jestem pewien, dlaczego uważasz, że spowoduje to usunięcie wszystkiego z tabeli, ponieważ jestem prawie pewien, że nawet nie zostanie wykonane. DELETE nie wymaga żadnych kolumn ani * zostać określone. Powinno to być po prostu DELETE FROM hotels WHERE [etc, etc] .
Powinieneś również poważnie rozważyć przeczytanie tego artykułu:Jak:chronić się przed Wstrzykiwanie SQL w ASP.NET . Zwłaszcza „Krok 3. Użyj parametrów z dynamicznym SQL”, który szczegółowo opisuje, w jaki sposób możesz zmienić kod, aby zapobiec wstrzyknięciu SQL.
