Si può risolvere velocemente anche utilizzando il Command con Parametri (vedi mio progetto in firma su ADO.NET), anzi direi che non si usa più scrivere enunciati SQL come indicato da SirJo (scusa la franchezza).

Tra l'altro, anche Codice è un campo di testo, quindi bisognerebbe usare Replace() anche con quel campo.
Poi, quando si avrà bisogno di campi di tipo DateTime, si dovranno formattare anche tutte le date (la qual cosa può cambiare a seconda del tipo di database utilizzato).

L'uso di query che includono un miscuglio 'strano' di controlli, campi, formattazioni e concatenamenti è altamente scoraggiato e sconsigliato, oltre al fatto dell'enorme difficoltà di eseguire DEBUG e/o manutenere il codice perché complicano la lettura del codice stesso, al punto che spesso (quasi sempre) creano problemi ed occorre un lavoro da 'certosino' solo per raccapezzarcisi.

@jekisi
Non complicarti la vita da solo: scegli al strada più intelligente, pratica e semplice dei Command con Parametri.

P.S.
Proprio in questi giorni, avantaggiato dal fatto che gli utenti in azienda sono in ferie, ho migrato un'applicazione da database Access a SQL Server 2012.
Grazie all'uso dei Command mi è bastato modificare 2 righe di codice (dico DUE) di cui una riga era quella della ConnectionString e l'atrla era quella di una mia funzione.
Tempo impiegato? 1 ora in tutto.
Se non avessi preventivamente (e saggiamente) usato i Command sarebbe stato un bagno di sangue.