Ik weet niet zeker waarom je denkt dat alles in de tabel wordt verwijderd, omdat ik er vrij zeker van ben dat het niet eens wordt uitgevoerd. DELETE vereist geen kolommen of * te specificeren. Het zou gewoon DELETE FROM hotels WHERE [etc, etc] moeten zijn .
U moet ook serieus overwegen om dit artikel te lezen:How To:Protect From SQL-injectie in ASP.NET . Vooral "Stap 3. Gebruik parameters met dynamische SQL", waarin wordt beschreven hoe u uw code kunt wijzigen om SQL-injectie te voorkomen.