Nelle querystring c'è sempre un controllo di questo tipo:
codice:
Function FixSQL(stringa)
 stringa = Replace(stringa, "'", "''")
 stringa = Replace(stringa, "%", "[%]")
 stringa = Replace(stringa, "[", "[[]")
 stringa = Replace(stringa, "]", "[]]")
 stringa = Replace(stringa, "_", "[_]")
 stringa = Replace(stringa, "#", "[#]")
 FixSQL = stringa
End function
C'è poi HtmlEncode per rendere innoqui eventuali pezzi di codice inseriti nella pagina.
Nei form c'è il captcha di Google.

Cos'altro si può fare sul codice?