操作數據庫可以分這么三種，第一種，直接寫硬SQL代碼，不要參數，第二種，直接寫硬代碼，要參數，第三種，調用存儲過程。

　　我們以一個登錄模塊為例，現在頁面

　　SqlConnection conn =new SqlConnection

　　("server=;database=news2;uid=sa;pwd=");

　　conn.Open();

　　SqlCommand cmd=new SqlCommand();

　　cmd.CommandText="select count(*)from users

　　where name='"+this.TextBox1.Text+"'and pwd='"+this.TextBox2.Text+"'";cmd.Connection=conn;int i=(int)cmd.ExecuteScalar();Response.Write(i.ToString());if(i==1){Response.Redirect("add.aspx");}else{Label1.Text="error!"}

　　第二種途徑

　　SqlConnection conn =new SqlConnection("server=;database=news;uid=sa;pwd=");

　　conn.Open();//打開數據庫

　　SqlCommand cmd=new SqlCommand();//建立命令對象

　　cmd.CommandText="select count(*)from users where and ";

　　cmd.Connection=conn;//設置連接

　　SqlParameter p= new SqlParameter("@name",SqlDbType.Char,10);

　　//定義參數

　　p.Value=this.TextBox1.Text;

　　cmd.Parameters.Add(p);//添加參數到集合

　　p= new SqlParameter("@pwd",SqlDbType.Char,10);

　　p.Value=this.TextBox2.Text;

　　cmd.Parameters.Add(p);

　　int i=(int)cmd.ExecuteScalar();

　　if(i==1)

　　{

　　Response.Redirect("add.aspx");}

　　else

　　{

　　Label1.Text="error!"

　　}

　　第三種途徑

　　SqlConnection conn =new SqlConnection("server=;database=news;uid=sa;pwd=");

　　conn.Open();//打開數據庫

　　SqlCommand cmd=new SqlCommand();//建立命令對象

　　cmd.CommandText=" checkLogin";//設置命令文本

　　cmd.CommandType=CommandType.StoredProcedure;

　　//設置文本類型

　　cmd.Connection=conn;//設置連接

　　SqlParameter p= new SqlParameter("@name",SqlDbType.Char,10);

　　//定義參數

　　p.Value=this.TextBox1.Text;

　　cmd.Parameters.Add(p);//添加參數到集合

　　p= new SqlParameter("@pwd",SqlDbType.Char,10);

　　p.Value=this.TextBox2.Text;

　　cmd.Parameters.Add(p);

　　int i=(int)cmd.ExecuteScalar();

　　if(i==1)

　　{

　　Response.Redirect("add.aspx");}

　　else

　　{

　　Label1.Text="error!"

　　}

　　接下來對這三種方法做分析：

　　第一方法不能防范SQL注入式方式攻擊，比如在第一個文本框輸入asd'or's'='s 第二個同樣輸入asd'or's'='s ，可以發現成功通過驗證。

　　第二種直接寫硬SQL代碼，事實上不是每個人都能寫出優良的SQL代碼來，可以由數據庫管理員或工程師來寫，這樣，一方面減輕程序員的工作，另一方面也可以使數據庫與應用程序保持獨立，這樣有利于系統的移植與維護。