nunca debes crear textos de comando concatenando cadenas. Utilice SqlParameter . Eso es poner primero lo primero.
Y me parece que no entiendes (o tienes muy poco) cómo funciona el acceso a datos en .net. Así que le recomiendo que lea algunos libros sobre ese tema, por ejemplo, "Acceso a datos con .NET Framework 4" de Microsoft.
