static bool Verify(string username, string password)
{
//string strSql = "select * from users where username = '"+username+"' and password = '"+password+"'"; //直接拼接sql语句
string strSql = "select * from users where username = @para1 and password = @para";
MySqlCommand cmd = new MySqlCommand(strSql, conn);
cmd.Parameters.AddWithValue("para1", username);
cmd.Parameters.AddWithValue("para2", password);
MySqlDataReader reader = cmd.ExecuteReader();
}
sql语句根据需要使用"列名 = @para1"的方式添加,使用这种方式不必添加单引号。
使用cmd.Parameters.AddWithValue("para1", username);的方式直接将函数的参数传递给sql语句执行