私のコードはSQLインジェクションプルーフですか？

Question

このSQL注入証明はありますか？少なくとも、大丈夫ですか？私はこれをオンラインで手に入れましたので、本当に助けを得ることができました。私は現在かなりのプログラムを構築しており、支払いをしたいと思ったらログインページを追加することにしました。助けてください！

if (txt_UserName.Text == "" || txt_Password.Text == "") 
{ 
    MessageBox.Show("Please provide a Username and Password"); 
    return; 
} 

try 
{ 
    // Create SqlConnection 
    SqlConnection con = new SqlConnection(cs); 

    SqlCommand cmd = new SqlCommand("Select * from tbl_Login where UserName = @username and Password = @password", con); 

    cmd.Parameters.AddWithValue("@username", txt_UserName.Text); 
    cmd.Parameters.AddWithValue("@password", txt_Password.Text); 

    con.Open(); 

    SqlDataAdapter adapt = new SqlDataAdapter(cmd); 
    DataSet ds = new DataSet(); 
    adapt.Fill(ds); 

    con.Close(); 

    int count = ds.Tables[0].Rows.Count; 

    // If count is equal to 1, than show frmMain form 
    if (count == 1) 

Answer 1

あなたのコードはSQLインジェクションプルーフです。 プレーンSQLクエリについては、私は個人的にはStackOverflowで使用されているDapper ORMを使いたいと思っています。

これは基本的には同じですが、コードの数が少なく、DataSetの代わりに強く型付けされた値を返します。例えば

、

public class User 
{ 
    public string UserName { get; set; } 
    public string Password { get; set; } 
} 

User user; 
using (IDbConnection cnn = new SqlConnection(cs)) 
{ 
    user = cnn.Query<User>(
     "Select UserName, Password from tbl_Login where UserName=@username and Password=@password", 
     new { username = txt_UserName.Text, password = txt_Password.Text }) 
     .SingleOrDefault(); 
} 

if (user != null) 
{ 
    // Do someting 
} 

FYI：あなたが普通のパスワードを格納しているようです。もしそうなら、それは良い習慣ではありません。代わりに、ソルトされたハッシュ・パスワードを保管したいとします。