Per il tuo problema, leggi e approfondisci l'uso dei parametri, con la classe SqlParameter.