qual o problema nessa query ela vai deletar todos os registros da tabela !

Não sei por que você acha que isso excluirá tudo na tabela, pois tenho certeza de que nem será executado. DELETE não requer nenhuma coluna ou * a definir. Deve ser apenas DELETE FROM hotels WHERE [etc, etc] .

Além disso, você deve considerar seriamente a leitura deste artigo:How To:Protect From Injeção de SQL no ASP.NET . Especialmente "Passo 3. Use Parâmetros com SQL Dinâmico", que detalha como você pode alterar seu código para evitar injeção de SQL.

Excluir todas as linhas do banco de dados usando uma única consulta?

Maneira mais fácil de encontrar o IsManager no SQL

Como migrar trabalhos do SQL Server de uma instância do SQL Server para outra
Controlando o failover de replicação para MySQL e MariaDB com scripts de pré ou pós-failover
Quando as classificações do SQL Server retrocedem?
Atualizar estatísticas do SQL Server usando um plano de manutenção de banco de dados