Jag är inte säker på varför du tror att det kommer att radera allt i tabellen, eftersom jag är ganska säker på att det inte ens kommer att köras. DELETE kräver inga kolumner eller * ska specificeras. Det ska bara vara DELETE FROM hotels WHERE [etc, etc] .
Du bör också seriöst överväga att läsa den här artikeln:Så här:Skydda mot SQL-injektion i ASP.NET . Speciellt "Steg 3. Använd parametrar med dynamisk SQL", som beskriver hur du kan ändra din kod för att förhindra SQL-injektion.