Ich bin mir nicht sicher, warum Sie glauben, dass dadurch alles in der Tabelle gelöscht wird, da ich mir ziemlich sicher bin, dass es nicht einmal ausgeführt wird. DELETE erfordert keine Spalten oder * um genau zu sein. Es sollte nur DELETE FROM hotels WHERE [etc, etc] sein .
Außerdem sollten Sie diesen Artikel ernsthaft lesen:How To:Protect From SQL-Injection in ASP.NET . Insbesondere "Schritt 3. Verwenden Sie Parameter mit dynamischem SQL", in dem detailliert beschrieben wird, wie Sie Ihren Code ändern können, um eine SQL-Einschleusung zu verhindern.
