grazie per le vostre risposte... in effetti i miei dubbi erano proprio su eventuali "sql injection" ... e che le variabili di sessione non sono altro che dei cookies...
per quanto riguarda la cartella del db questa è protetta dallo scaricamento (da errore 403_forbidden), salvo se non c'è qualche altra magagnetta per eludere le protezioni di IIS...
a questo punto come potrei migliorare la protezione da cosiddette sql injection (doppi apici, char...) c'è quelche sito a cui attingere info?
oppure il metodo non è proprio da usare?
queste cose microsoft sono piene di bugs...