una funcion para poder solucionar esos problemas...

function limpiar_texto(str)
str = replace(str,"'","''")
str = replace(str,"--","__")
str = replace(str,"""""","")
str = replace(str," or ","")
str = replace(str," and ","")
str = replace(str,"-shutdown","")
str = replace(str,"shutdown","")
str = replace(str,"inner","")
str = replace(str,"join","")
str = replace(str,"select","")
str = replace(str,"insert","")
str = replace(str,"update","")
str = replace(str,"delete","")
str = replace(str,"drop","")
str = replace(str,"having ","")
str = replace(str,"group by","")
str = replace(str,"union select sum","")
str = replace(str,"union select min","")
limpiar_texto = str
end function


xusuario = limpiar_texto(trim(request.form("usuario")))
xclave = limpiar_texto(trim(request.form("clave")))

strSQL = "select * from usuarios where usuario = '"&xusuario&"' and password = '"&xclave&"'"

set oRS = oCN.execute(strSQL)

if not oRS.eof then
if xclave = trim(oRS("password")) then
'TODO MUY BIEN
end if

lo que hacemos es quitar algunas instrucciones del SQL para que el usuario no pueda entra a tu tabla usuarios y no poder "hackearte"... después de eso haces la pregunta si existe el usuario y el password.. además de eso ves si esta correcta la consulta y ves si la clave que ingreso el usuario es igual a la que está en el registro de la tabla.. espero me haga entender