有陷阱，如何登錄？

Question

private void d_Load(object sender, EventArgs e) 
    { 

     string connstring = @"Data Source=.\SQLEXPRESS;AttachDbFilename=|DataDirectory|\it155.mdf;Integrated Security=True;Connect Timeout=30;User Instance=True"; 
     SqlConnection conn = new SqlConnection(connstring); 
     try 
     { 
      conn.Open(); 

      string snumber = txtSnumber.Text; 
      SqlCommand get = new SqlCommand(@"Select from IStudent where SNumber ='" + txtSnumber.Text + "'", conn); 

     } 
     catch (Exception) 
     { 

     } 
    } 

給出上面寫的代碼的開始，我打算做的是能夠在sql數據庫中使用id號數據類型varchar（11）登錄，該數據庫要在txtSnumber中輸入，但是在旁邊我無法弄清楚如何檢查輸入的ID號碼是否正確，如果正確，對應於該ID號碼的信息應該顯示在它們對應的文本框中。請幫幫我，謝謝

Answer 1

您可以通過使用DataReader()

SqlCommand get = new SqlCommand(@"Select from IStudent where SNumber ='" + txtSnumber.Text + "'", conn); 
    SqlDataReader myReader = get.ExecuteReader(); 
    if (myReader.HasRows) 
    { 
    MessageBox.Show("ID is valid"); 
    while (myReader.Read()) 
     //Do something here   
    } 
    else 
    MessageBox.Show("Given ID is Invalid."); 

編輯檢查：

雖然喊你把下面的參數裏面的ExecuteReader（）方法，這樣，當你永遠關閉數據讀取器的連接也會自動關閉。

SqlDataReader myReader = get.ExecuteReader(CommandBehavior.CloseConnection); 

Answer 2

您的sql語句很容易出現SQL注入。像這樣連接SQL是非常糟糕的做法。相反，做這樣的事情：現在

string snumber = txtSnumber.Text; 
SqlCommand get = new SqlCommand(@"Select from IStudent where SNumber =@User", conn); 

get.Parameters.AddWithValue("@User",snumber); 

，以檢查記錄是否被發現或沒有，你這樣做：

using(IDataReader reader = get.ExecuteReader()) 
{ 
     if (reader.HasRows) 
     { 
      //information correct. Do something 
     } 
}