通常我们对登录窗口比较是否是该用户时，sql语句是：(strMd5是已加密的密码)
"selelct * from Users where UserAccount="+"'"+UserName+"'"+"And UserPwd="+"'"+strMd5+"'";
我觉得，这样的话，还是存在sql注入的漏洞，请各位高手指点指点，该怎么解决这个问题？？谢谢

public string HtmlEncode(string str)
        {
            str = str.Replace("&", "&");
            str = str.Replace("<", "&lt;");
            str = str.Replace(">", "&gt");
            str = str.Replace("'", "''");
            str = str.Replace("*", "");
            str = str.Replace("\n", "<br/>");
            str = str.Replace("\r\n", "<br/>");
            str = str.Replace("select", "");
            str = str.Replace("insert", "");
            str = str.Replace("update", "");
            str = str.Replace("delete", "");
            str = str.Replace("create", "");
            str = str.Replace("drop", "");
            str = str.Replace("delcare", "");
            if (str.Trim().ToString() == "") { str = "无"; }
            return str.Trim();
        }

方法很多
第一用变量代替传的参数
第二过滤危险字符。个人觉得还是第一种比较好。
危险字符交给微软处理就是

存储过程

使用 sqlcommand 带参数执行 sql最安全

不要直接使用语句  缺点你自己都说了   有被注入的危险
另外的危险就是 增加了数据传输

so   全部用存储过程 . 不用客气.