Nejsem si jistý, proč si myslíte, že to smaže vše v tabulce, protože jsem si docela jistý, že se to ani nespustí. DELETE nevyžaduje žádné sloupce ani * bude upřesněno. Mělo by to být pouze DELETE FROM hotels WHERE [etc, etc] .
Také byste měli vážně uvažovat o přečtení tohoto článku:Jak na to:Ochrana před SQL Injection v ASP.NET . Zejména "Krok 3. Použití parametrů s dynamickým SQL", který podrobně popisuje, jak byste mohli změnit svůj kód, abyste zabránili vkládání SQL.