Muchas gracias a los dos, funcionaron las dos formas. Con respecto a lo de SQL Injection, yo en ASP tenia una funcion que se encargaba de evitar todo tipo de datos indebidos, ya sea mediante variables que pasan por la URL o mediante formulario. Por eso, si tiene lugar la ejecucion de esa sentencia es porque ya ha pasado esa comprobacion. De todas formas, tengo entendido que esto se podría evitar utilizando parametros, puede ser?, esa es la manera en la que comunmente se trabaja en Asp.Net?.
Un saludo y muchas gracias a ambos nuevamente por su ayuda.