Bueno, es que esa es la parte que te tienes que currar tu. Open SSH es muy sencillo, hay una version para windows creo recordar. Basicamente el programa emite un certificado que luego se presenta para hacer el tunel. En Google hay cientos de miles de páginas que hablan de IPSEC y te dan una guia de cómo se hace paso a paso. Yo recuerdo que en la knowledge base de Miscrosoft había documentos muy buenos en castellano.

Para evitar la inyección SQL hay que filtrar lo que te ponen en el formulario antes de hacer la query a la base de datos. Mi consejo es que te hagas una rutina EN EL LADO DEL SERVIDOR (ASP, PHP), NUNCA EN EL LADO DEL CLiENTE (Javascript, Vbscript) donde te asegures que los unicos caracteres que han colocado son letras y números.

Insisto que esta validación no la hagas en el lado del cliente porque es facil de saltar.
Saludos
Hooker