蠢且懒的代码

       看了些C#编程和MS SQL SERVER的书，学了些相关知识，就开始上手接了个项目，首期编写了一个登录程序,某按钮调用 UserLogon 单击事件，查询用户表中与输入的用户名密码是否一致，成功则登录，失败则提示，代码如下：

void UserLogon(Object sender,EventArgs e)

{

   try

   {

     string _sql="select * from users where uid="+x_uid.Text+" and password="+x_pwd.Text;  

     SqlConnection Conn =   new SqlConnection(ConfigurationSettings.AppSettings["J"]);

     SqlCommand   comm=new SqlCommand(_sql,myConnection);  

     myConnection.Open();

      SqlDataReader myDr;

      myDr = comm.ExecuteReader();

      if(myDr.Read()){

        myDr.Close();

         Session[“username”]=myDr[“u”].ToString();

        Response.Write("登录成功！");

        Response.Redirect("/main.aspx");

      }

      else{

        Response.Write("非法登录！");

      }

  }

  catch(Exception ex){

        Response.Write(ex.Message);

  }

  finally{

      myConnection.Close();

  }

}

首先提示了数据源已关闭的提示（问题出现在了粗心大意）：

if(myDr.Read()){

myDr.Close();

         Session[“username”]=myDr[“u”].ToString();

        Response.Write("登录成功！");

      }

更改后，感觉大吉。过两天，甲方的技术人员电话过来，你们可以尝试任意密码登录。那时只感觉书上写的范例肯定是正确的标准的，岂不知那只是范例，不要教条。该段代码引发了很多风险和问题：

    （1）严重风险：由字符串拼接SQL语句，输入某些语句，任意条件即可登录，并引发SQL注入的巨大风险。

    （2）性能问题：全程 try 语句，动辄 select * from ...，就是因为懒，则以牺牲性能为代价。

    （3）无法执行的语句：登录成功后的提示语不会进行显示。

    （4）不友好的提示信息，看似简单，但用户体验度非常的差。

所以，应用设计即是一门技术，也是一门艺术，虽然BUG是我们心中永远的痛，但编写健壮、友好、稳定、高性能的应用也是我们永远不变的追求！