数据库好像有一个漏洞问题，今天实训，做一登陆界面，老师给我检测，直接在用户名里输入了'or ......  记不清了，请问这能解决吗？

老师输入的是：' or 2=2

这叫SQL注入式攻击，拼字符串的形式实现字符串的where字句恒成立，进而实现登录，使用参数化查询可以避免

这叫SQL 注入漏洞攻击。当使用字符串拼接的形式进行数据库查询时，如
comm.CommandText="select * from T_USERS where UserName='"+username+"'and Password='"+password+"‘“；
当用户输入正确的用户名Admin，密码为1' or '1'='1时，以上SQL语句会被自动拼接为：
select * from T_USERS
where  (UserName ='Admin') and  (Password ='1') or ('1'='1')
即只要用户名正确，这语句就恒成立，所以就能登录成功。
若要避免SQL注入漏洞攻击，就应该使用参数化查询。