防御ASP里的Cookies注入攻击

      ASP里的SQL注入攻击可谓是众ScriptBoy（脚本小子）皆知了，因其技术的简易性而使得这项攻击技术非常容易入门，所以也对许多网站造成了不小的危害，于是就有人为了防御这种攻击而写出的一种叫SQL防注系统的小程序，其主要原理是过滤掉通过Get方式和Post方式提交的参数里的非法数据，但却没有想到Cookies的参数会有什么问题，于是也就没有做过滤，但是不久后，就有人提出了绕过防注系统进而可继续对ASP程序进行注入攻击的方法，也就是稍高一级的Cookies注入攻击。

      经过我的简单研究，弄清了其中的原理，其实防御这种攻击也很简单，可以在原来的防注程序里加入对Cookies参数的过滤，或者用Request.QueryString()代替Request()获取通过Get方式提交的数据即可防御通过利用Request()取数据的顺序的特点进行的cookies注入攻击。所以平时在ASP环境下进行编程时，如果要取得以Get方式提交的参数，则用Request.QueryString()吧，最好就不要为了少写几个字母而使用Request()了。