Jeg er ikke sikker på, hvorfor du tror, at det vil slette alt i tabellen, da jeg er ret sikker på, at det ikke engang vil blive eksekveret. DELETE kræver ingen kolonner eller * skal specificeres. Det skal bare være DELETE FROM hotels WHERE [etc, etc] .
Du bør også seriøst overveje at læse denne artikel:Sådan:Beskyttelse mod SQL-injektion i ASP.NET . Især "Trin 3. Brug parametre med dynamisk SQL", som beskriver, hvordan du kan ændre din kode for at forhindre SQL-injektion.