有陷阱，如何登录？

Question

private void d_Load(object sender, EventArgs e) 
    { 

     string connstring = @"Data Source=.\SQLEXPRESS;AttachDbFilename=|DataDirectory|\it155.mdf;Integrated Security=True;Connect Timeout=30;User Instance=True"; 
     SqlConnection conn = new SqlConnection(connstring); 
     try 
     { 
      conn.Open(); 

      string snumber = txtSnumber.Text; 
      SqlCommand get = new SqlCommand(@"Select from IStudent where SNumber ='" + txtSnumber.Text + "'", conn); 

     } 
     catch (Exception) 
     { 

     } 
    } 

给出上面写的代码的开始，我打算做的是能够在sql数据库中使用id号数据类型varchar（11）登录，该数据库要在txtSnumber中输入，但是在旁边我无法弄清楚如何检查输入的ID号码是否正确，如果正确，对应于该ID号码的信息应该显示在它们对应的文本框中。请帮帮我，谢谢

Answer 1

您可以通过使用DataReader()

SqlCommand get = new SqlCommand(@"Select from IStudent where SNumber ='" + txtSnumber.Text + "'", conn); 
    SqlDataReader myReader = get.ExecuteReader(); 
    if (myReader.HasRows) 
    { 
    MessageBox.Show("ID is valid"); 
    while (myReader.Read()) 
     //Do something here   
    } 
    else 
    MessageBox.Show("Given ID is Invalid."); 

编辑检查：

虽然喊你把下面的参数里面的ExecuteReader（）方法，这样，当你永远关闭数据读取器的连接也会自动关闭。

SqlDataReader myReader = get.ExecuteReader(CommandBehavior.CloseConnection); 

Answer 2

您的sql语句很容易出现SQL注入。像这样连接SQL是非常糟糕的做法。相反，做这样的事情：现在

string snumber = txtSnumber.Text; 
SqlCommand get = new SqlCommand(@"Select from IStudent where SNumber =@User", conn); 

get.Parameters.AddWithValue("@User",snumber); 

，以检查记录是否被发现或没有，你这样做：

using(IDataReader reader = get.ExecuteReader()) 
{ 
     if (reader.HasRows) 
     { 
      //information correct. Do something 
     } 
}