テーブル内のすべてが削除されると思われる理由はわかりませんが、実行されないことは確かです。 DELETE 列や * は必要ありません 指定する必要があります。 DELETE FROM hotels WHERE [etc, etc] である必要があります。 .
また、次の記事を読むことを真剣に検討する必要があります。 ASP.NET での SQL インジェクション .特に「ステップ 3. 動的 SQL でパラメーターを使用する」では、コードを変更して SQL インジェクションを防ぐ方法について詳しく説明しています。