asp网站总是被自动注册机注册很多用户名，怎样解决？

asp网站程序，总是被注册很多用户名，发一些垃圾消息。网站注册页面本身有验证码。但是观察后发现好像这些注册名是直接写入数据库的，没有经过注册页面注册。求比较科学的解决方法

补充：有人说设置数据库加密，可以解决，是不是这样？ 还有其他更加完善的方法吗？最好能防患未然的。
		

答案：
一、什么是SQL注入式攻击？  

所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如：  

⑴ 某个ASP应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码。  

⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数。下面是ASP应用查询的一个例子：  

select * from user where login=’”<%=request.fomr(“username”)%>”’ and password= ’”<%=request.fomr(“password”)%>”’


⑶ 攻击者在用户名字和密码输入框中输入"'或'1 = 1"之类的内容。  

⑷ 用户输入的内容提交给服务器之后，服务器运行上面的ASP.NET代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成：SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'。  

⑸ 服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比。  

⑹ 由于SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，所以系统会错误地授权给攻击者。  

如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询，他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能，欺骗系统授予访问权限。  

系统环境不同，攻击者可能造成的损害也不同，这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限，攻击者就可能对数据库的表执行各种他想要做的操作，包括添加、删除或更新数据，甚至可能直接删除表。  
你加一个验证页验证下注册的来源。不是你指定的来源页直接中断他的连接。

上一个：在Asp.Net2.0 Web应用程序开发中。如何实现用户第一次在客户端点击新闻链接之后将查询到的数据保存为HTML文件存储在服务器中。之后的用户点击同一链接时请求的却是HTML页面?
下一个：关于ASP.NET中的代码隐藏文件的描述正确的是（ ）