Ciao,
se è un valore inserito dall'utente è bene passarlo alla query tramite gli oggetti SqlParameter di ADO.NET, questo per evitare spiacevoli incidenti di sql injection. Ecco un semplice utilizzo in VB di come fare:
Chiccomox
http://www.dotnetpertutti.com/
http://www.windowspertutti.com/