Hjälp att testa säkerheten?

Driver en sida modell större och har haft problem med säkerheten sista tiden. Troligtvis är det någon som kört en SQL injection och lyckats ta sig in. Tror och hoppas nu att jag fixat säkerhetshålet men vågar inte lägga upp sidan igen förrens jag är någorlunda säker. Finns det nån vänlig själ (utan ond uppsåt) här med goda kunskaper inom SQL injections som kan försöka ta sig in, utan att förstöra något? PM:a...

PM skickat.

du har pm. fast du behöver nog ha nåt att disskutera för att tråden inte ska kastas.

Sidan drivs med ASP och en Access databas.

Innan attacken var det här det enda som kollades innan jag hämtade från databasen:

username = Trim(Replace(Request.Form("username"),"'","''"))
password = Trim(Replace(Request.Form("password"),"'","''"))

Numera kör jag den här funktionen på både username och password:

Function SafeSQL(strText)
strText = replace(strText,"'","''")
strText = Replace(strText,"\","\\")
strText = Replace(strText," "," ")
strText = Replace(strText," .",".")

With New RegExp
.Global = True
.IgnoreCase = True

.Pattern = "^(script)$"
strText = .Replace(strText ,"[script]")

.Pattern = "^(html)$"
strText = .Replace(strText ,"[html]")

.Pattern = "^(<)$"
strText = .Replace(strText ,"[")

.Pattern = "^(>)$"
strText = .Replace(strText ,"]")

End With

SafeSQL = strText

end function

Set RecSet = Connect.Execute("Select * From admins Where username='"&username&"' And password='"&password&"'") är det som körs...

Bör man kanske inte även filtrera bort '--', kanske inte är nödvändigt mot Access db's.