拼接的意思就是你的string cmdstr = "SELECT * FROM tb_User WHERE UserName='" + textBox1.Text + "' AND UserPwd='" + textBox2.Text + "'"; 这条语句,在textBox2.Text里面写 ' or 1=1,你的语句就变成 SELECT * FROM tb_User WHERE UserName='txtBox1.Text' AND UserPwd='' or 1=1; 能看懂这个语句吧。不管你用户名和密码怎么判断。还有一个或者1=1,条件符合就直接判断为true