Você deve nunca crie textos de comando concatenando strings. Use SqlParameter . Isso é colocar as primeiras coisas em primeiro lugar.

E me parece que você não tem (ou muito pouco) entendimento de como funciona o acesso a dados em .net. Portanto, recomendo que você leia alguns livros sobre esse tópico, por exemplo, "Acessando dados com o .NET Framework 4" da Microsoft.