string sql="select count(*) from userinfo where user_name='"+this.txtname.Text.Trim()+"' and user_pwd='"+db.getMD5(this.txtpwd.Text.Trim())+"' or 1=1";
此语句会登录成功.
怎样解决这样的问题....在不删除or 1=1的情况下..

要是不删除的话，这条件是成立的，
这句话，一定不会错，
就要使用判断语句找到危险字符才行，然后在本页中不用它们就是了，可以在本页中判断是否有这OR 1=1 ，这样的话，可以防止别人在你你传参的过程中，而加上这句话。