Tanto la prevengo io la SQL Injection...
Beh, provate a dare un'occhiata a questo post, che rende bene l'idea...
Dopo il mantra "usate URLScan" da ripetere 1000 volte ecco il secondo mantra della security: "usate i parameters"...
Da ripetere altre 1000 volte... 