Coincido plenamente con lo anterior. No obstante, también podrías validar previamente los valores antes de introducirlos en la cadena SQL.
Código ASP:
Ver originalDim usuario = request.form("usuario")
Dim clave = request.form("usuario")
'Eliminas de las variables usuario y clave los caracteres que te puedan estropear la consulta, como la comilla simple, las palabras "DECLARE", "CAST(", etc. utilizadas para inyecciones SQL...
ssql = "select * from usuario,vendedor where usuario.nombre_usuario='" & usuario & "' and usuario.clave_usuario='" & clave & "' and usuario.id_usuario=vendedor.id_vendedor"
Set con = Server.CreateObject("ADODB.Connection")
con.open "Provider=Microsoft.Jet.OLEDB.4.0;Data source=" & server.MapPath("bd.mdb")
set rs = con.Execute(sSQL)
Un saludo.