调试易

没明白LZ的意思，注入是指SQL注入？ 

防止恶意注册有图形验证码
防止SQL注入方式很多，比较简单的是SQL使用绑定变量，参数传入时进行检查

对于所有从上一页传递过来的参数，包括request.form 、request.qurrystring等等进行过滤和修改。如最常的***.asp?id=123 ，我们的ID只是用来对应从select 里的ID，而这ID一般对应的是一个数据项的唯一值，而且是数字型的。这样，我们只需把ID的值进行判定，就可以了。vbs默认的isnumeric是不行的，自己写一个is_numeric更好，对传过来的参数进行判定，OK，搞定。算法上的话，自己想想，很容易了。但是真正要做到完美的话，还有很多要计算的。比如传递过来的参数的长度，类型等等，都要进行判定。还有一种网上常见的判定，就是判定传递参数的那一页（即上一页），如果是正常页面传弟过来就通过，否则反之。也有对' or 等等进行过滤的，自己衡量就可以了。注意一点就是了，不能用上一页的某一个不可见request.form("*")进行判定，因为用户完全可以用模拟的形式“复制”一个和上一页完全一样的页面来递交参数。这样，这招就没用了。
我引用的别人的

用prepareStatement实现CRUD，不要用拼接SQL的方法
拼接SQL容易被恶意SQL注入

URLRewriter可以实现防止被恶意注入！

最简单的是点击注册的时候生成一个session码,判断这个session是否存在,如果存在,则可以注册,注册完之后清除session码!当然这个可能解决不了实际的问题,只能确保它确实访问了注册页面!

加一个filter，在里面判断提交方式为post的来路。