关于修改密码的问题研究

新密码的文本档为txtpwd2，
 protected void btnAdd_Click(object sender, EventArgs e)
    {
        string connstring = Convert.ToString(ConfigurationManager.ConnectionStrings["chengjiguanliConnectionString"]);
        SqlConnection conn = new SqlConnection(connstring);
        conn.Open();
        string strsql = "select * from  student where  where stuid='" + Session["stuid"].ToString() + "' and stupass='" + txtpwd1.Text.Trim() + "'";
        SqlCommand cmd = new SqlCommand(strsql, conn);
        SqlDataReader dr = cmd.ExecuteReader();
        string name = Session["stuid"].ToString();
        if (dr.Read())
        {
            strsql =？？
这里我写的一部份的代码。求大神们帮帮忙。给跪下了。
--------------------编程问答-------------------- --------------------编程问答-------------------- 如果用户名密码验证通过而且两次输入新密码都一致。
那你直接update 用户表 set 密码=新密码 where stuid=用户ID

另外你验证语句这样写不怕被注入？ --------------------编程问答--------------------

引用 楼主 ep919075399 的回复:

新密码的文本档为txtpwd2，
 protected void btnAdd_Click(object sender, EventArgs e)
    {
        string connstring = Convert.ToString(ConfigurationManager.ConnectionStrings["chengjiguanliConnectionString"]);
        SqlConnection conn = new SqlConnection(connstring);
        conn.Open();
        string strsql = "select * from  student where  where stuid='" + Session["stuid"].ToString() + "' and stupass='" + txtpwd1.Text.Trim() + "'";
        SqlCommand cmd = new SqlCommand(strsql, conn);
        SqlDataReader dr = cmd.ExecuteReader();
        string name = Session["stuid"].ToString();
        if (dr.Read())
        {
            strsql =？？
这里我写的一部份的代码。求大神们帮帮忙。给跪下了。

if(dr.Read())
{
strsql="update student set stupass='"+txtpwd3.Text.Trim()+"' where stuid='"+name+'";
SqlCommand sqlcmd = new SqlCommand(strsql, conn);
int count=sqlcmd.ExcuteNoQuery();
if(count>0)
{
//更新成功
}
else
{
//更新失敗
}
} --------------------编程问答-------------------- 楼上正解，不过容易出现注入攻击 --------------------编程问答-------------------- --------------------编程问答--------------------

补充：.NET技术 ,  ASP.NET