用C#做一个登录界面的问题～

大家帮我看下代码，我在VS2005中做的一个网页管理员登录界面，管理员信息已经在SQL的login 表中保存，代码如下：
protected void Button1_Click(object sender, EventArgs e);
SqlConnection Conn =new SqlConnection();
Conn.ConnectionString = "server=localhost; Trusted_Connection=True; database=denglu;";
Conn.Open();
SqlCommand Comm = new SqlCommand ("select count( *)from yanzheng where use='+TextBox1.Text+'" and password= "'+TextBox2.Text+'",Conn);
int count = Convert.ToInt32Comm.ExecuteScalar());
if (count > 0)
{
Response.Redirect("main.aspx");
}
else
{
Response.Redirect("index.aspx");
}
Conn.Close();
下面是错误提示：

查询语句有变量就要声明啊，有@符号声明变量，变量声明后添加到SqlCommand 的 SqlParameter中，

查询语句应该这样写：

select count from yanzheng where use=@use and password =@password

然后添加参数：

SqlParameter par = new SqlParameter("@use", TextBox1.Text);

SqlParameter par = new SqlParameter("@password", TextBox2.Text);

Comm.Parameters.Add(par1);

Comm.Parameters.Add(par2);

你是不是想得到受影响的行数，来判断是否存在这个用户呢?你调用的这个方法ExecuteScalar（）他的返回值是第一行，第一列的值。ExecuteNonQuery （）这个方法返回受影响的行数

int count=Comm.ExecuteNonQuery （）//他的返回值已经是int型了

int count = Convert.ToInt32Comm.ExecuteScalar());

int count = Convert.ToInt32(Comm.ExecuteScalar());

用存储过程吧 安全 还是用SqlParameter的那个好点

protected void Button1_Click(object sender, EventArgs e);

这里的分号要去掉

protected void Button1_Click(object sender, EventArgs e)

{

//在这里面写登录的代码就可以了

SqlConnection Conn =new SqlConnection(); Conn.ConnectionString = "server=localhost; Trusted_Connection=True; database=denglu;"; Conn.Open(); SqlCommand Comm = new SqlCommand ("select count( *)from yanzheng where use='+TextBox1.Text+'" and password= "'+TextBox2.Text+'",Conn); int count = Convert.ToInt32Comm.ExecuteScalar()); if (count > 0) { Response.Redirect("main.aspx"); } else { Response.Redirect("index.aspx"); } Conn.Close();

}