Este es el codigo que frena los ataques de injección para paginas ASP con SQL:

tmp=request.QueryString 'cadena que entra
if instr(tmp,";")<>0 or instr(tmp,"declare")<>0 or instr(tmp,"[") or instr(tmp,"(")<>0 then 'verificar que hay caracteres de ataque
response.Redirect("infectada.asp") 'enviar a una que no se puede tocar
end if 'fin del filtro si todo es normal seguimos

Ponlo siempre al principio de las páginas asp que sean accesibles y ya tienes la solución.