什么叫SQL注入漏洞攻击？

概念不会说··
举个例子
加入sql语句为"select * from tb_usertable where name='"+用户名文本框的值+"'and password='"+密码框的值+"'"
那么用户名随意写 密码填写1'or'1'='1
这样最后的sql语句拼起来是select * from tb_usertable where name='"+nihao+"'and password='1'or'1'='1' 后半句有个永远成立的1=1
这样……就绕过了··08年琢磨破网吧数据库给自己充钱时百度搜到的··那时候关键词好像是“网站后台万能密码”{:soso_e143:}

楼上讲得非常正确，为了防止SQL注入攻击
可以这样写：
cmd.CommandText = "select count(*) from T_user where name = @N and password = @P";
cmd.Parameters.Add(new SqlParameter("N",name));
cmd.Parameters.Add(new SqlParameter("P",password));
详情你可以看看杨中科的SQL视频，里面讲得非常清楚