Es muy mala idea ejecutar sentencias SQL de esa forma (concatenar valores), ese código es altamente vulnerable a SQL Injection. Lee algún tutorial de ADO.NET para que veas como se debería hacer llamadas a procedimientos almacenados y como usar consultas parametrizadas.

Saludos