指出你一个严重的设计漏洞: SELECT * FROM mms_User where User_name="+Username.value+" and Password="+password2.value 绝对不可以这样写select语句!!! 因为你这样写的话,别人不用注册都可以直接登陆。比如填写 用户名:0' or '0'='0 密码:0' or '0'='0就可以直接登陆了。
最主要的问题出在SqlCommand中的SQL语句中,如果User_name是字符型,在SQL中要加引号: SELECT * FROM mms_User where User_name='"+Username.value+"'...
SELECT * FROM mms_User where User_name="+Username.value+" and Password="+password2.value 绝对不可以这样写select语句!!!
因为你这样写的话,别人不用注册都可以直接登陆。比如填写 用户名:0' or '0'='0
密码:0' or '0'='0就可以直接登陆了。
SELECT * FROM mms_User where User_name='"+Username.value+"'...