también una de las cosas peligrosas es que el -- es para poner comentarios en la instrucción del SQL.. osea que si yo sé el un usuario puedo entrar sin su clave:

xusuario = "mamon' --"
xpass = ""

strSQL = "select * from usuarios where usuario = '"&xusuario&"' and clave = '"&xpass&"'"

quedaría asi:
select * from usuarios where usuario = 'mamon' -- and clave = ''

y lo unico que la base de datos leería sería:
select * from usuarios where usuario = 'mamon'

y entraste como administrador o como el usuario que conozcas sin saber su clave