controlla tutto quello che arriva via post e via get
di certo il problema è la sicurezza nella composizione delle query e/o nell'autenticazione dell'utente

hai parlato di "file asp" hackerati. ma questo è possibile (anche se poco probabile) solo se hanno permessi di scrittura.
da quello che racconti è "il sito" ad essere violato, non il file asp.