asp网站总是被自动注册机注册很多用户名，怎样解决？

一、什么是SQL注入式攻击？

所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如：

⑴ 某个ASP应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码。

⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数。下面是ASP应用查询的一个例子：

select * from user where login=’”<%=request.fomr(“username”)%>”’ and password= ’”<%=request.fomr(“password”)%>”’

⑶ 攻击者在用户名字和密码输入框中输入"'或'1 = 1"之类的内容。

⑷ 用户输入的内容提交给服务器之后，服务器运行上面的ASP.NET代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成：SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'。

⑸ 服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比。

⑹ 由于SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，所以系统会错误地授权给攻击者。

如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询，他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能，欺骗系统授予访问权限。

系统环境不同，攻击者可能造成的损害也不同，这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限，攻击者就可能对数据库的表执行各种他想要做的操作，包括添加、删除或更新数据，甚至可能直接删除表。

但仅仅吸引新用户还不错，还需要保持新用户的活跃度，使其能持久地为网站创造价值而一旦用户的活跃度下降，很可能用户就会渐渐地远离网站，进而流失。所以基于此，我们可以对用户进行又一个细分——活跃用户和流失用户。 活跃用户与流失用户 活跃用户，这里是相对于“流失用户”的一个概念，是指那些“存活”着的用户，用户会时不时地光顾下网站，同时为网站带来一些价值。同时，我们还需要知道到底有多少用户可能已经抛弃了我们的网站，不可能再为网站创造任何的价值，也就是所谓的流失用户。 流失用户，是指那些曾经访问过网站或注册过的用户，但由于对网站渐渐失去兴趣后逐渐远离网站，进而彻底脱离网站的那批用户。当然，一个网站一定会存在流失用户，这是网站用户新老交替中不可避免的，但流失用户的比例和变化趋势能够说明网站保留用户的能力及发展趋势。 举个简单的例子，我们经常可以看到某些数据分析报告中说：某某网站的注册用户数已经超过几百万，但其实这些数据并没有太大的意义，因为可能这几百万里面很多用户都已经不再登录该网站(流失用户)，真正最近登录过或有过操作行为的用户(活跃用户)其实不到一万。

铁友网（前身久久票务网），“铁友网”管理团队汇集了中国IT业、票务代理业、物流业优秀人才，用先进的IT技术和服务理念，以 互联网为平台，高效整合线下火车票务服务、物流服务和在线票务信息咨询服务，独创全国火车票在线代购一站式服务业务，是国内领先的网上火车票代购服务专业平台。

两年来，铁友网已经发展为行业的领先者，服务网络覆盖国内绝大多数城市，立志为全国人民买全国火车票。截至目 前，久久票务网已经成功的为80余万用户购买火车票，网站注册用户突破300万，月度服务用户2亿次。为全国用户提供全方位的火车票代购、火车时刻查询、 车次查询，余票查询等服务。

---