La variable de aplicación ValidUser no se como la usas pero no tiene sentido a nivel de usuario. Las variables de aplicación sirven a nivel de aplicación (para todos los usuarios). Para usar variables globales a nivel de usuario (para un solo usuario, el activo, el que ha abierto la sesión, no la aplicación) usa session.

Con esto quiero decir que basta con Session("User") para chequear en las páginas restringidas si el usuario se ha logeado.

if session("User") = "" then response.redirect("login.asp")

Esta sentencia anterior colocala en cada una de las páginas restringidas, al inicio. Antes de hacer cualquier otra operacion. Evitará consumo del servidor innecesario.

Otra cosa que deberias hacer es controlar lo que te venga de las variables del formulario para evitar SQL inyection


Por algo mas seguro:


Esto es un ejemplo muy simple. Te recomiendo que busques en San Google o en el foro ejemplos mas consistentes y poderosos. Mira en las FAQs, estoy seguro de haber visto algo.



Un saludo