Tôi không chắc tại sao bạn nghĩ rằng điều đó sẽ xóa mọi thứ trong bảng, vì tôi khá chắc chắn rằng nó thậm chí sẽ không thực thi. DELETE không yêu cầu bất kỳ cột nào hoặc * để được chỉ định. Nó chỉ nên là DELETE FROM hotels WHERE [etc, etc] .
Ngoài ra, bạn nên nghiêm túc xem xét đọc bài viết này: Cách thực hiện:Bảo vệ khỏi SQL Injection trong ASP.NET . Đặc biệt là "Bước 3. Sử dụng Tham số với SQL động", trình bày chi tiết cách bạn có thể thay đổi mã của mình để ngăn chặn việc đưa vào SQL.
