var query = "select COUNT(*) from Users where UserName = '" 
            + tbUser.Text 
            + "' and Password = '" 
            + tbPassword.Text +"'";

盲目相信用户输入 不使用参数化查询 明文密码

重新使用一个“死”字段来做一些它不打算做的事情(例如在“传真”字段中存储用户数据)-尽管作为一个快速修复非常诱人!

var query = "select COUNT(*) from Users where UserName = '" 
            + tbUser.Text 
            + "' and Password = '" 
            + tbPassword.Text +"'";

盲目相信用户输入 不使用参数化查询 明文密码

使用无意义的表别名:

from employee t1,
department t2,
job t3,
...

使得阅读一个大的SQL语句比它需要的要困难得多

也许这不是一个反模式，但它惹恼了我，当某些数据库的DBA(好吧，我在这里说的是Oracle)用Oracle风格和代码约定编写SQL Server代码，当它运行如此糟糕时抱怨。受够了游标Oracle的人!SQL是基于设置的。

使用SP作为存储过程名称的前缀，因为它将首先在系统过程位置中搜索，而不是自定义过程。