SqlConnection con = new SqlConnection(mySql);                    //用SqlParameter可以防止Sql注入和一些二进制流的问题（如图片）                    //SqlParameter sp = new SqlParameter("@username",SqlDbType.VarChar,20);  1：生产名字为@username的参数，2：对应数据库的类型，3：字符串的长度                    //sp.Value = http://www.mamicode.com/txtUserName.Text.Trim(); 给参数赋值>//com.Parameters.Add(sp); 添加到com对象                    //可以简写成一下形势                    SqlParameter[] sp = { new SqlParameter("@userName", txtUserName.Text.Trim()) ,                                      new SqlParameter("@userPwd", txtUserPwd.Text.Trim())};                    string str = "select * from UserLogin where userName=@userName and userPwd=@userPwd";  //不需要单引号                    SqlCommand com = new SqlCommand(str, con);                    com.Parameters.AddRange(sp);                    con.Open();                    SqlDataReader sdr = com.ExecuteReader();