Buenas, yo solo me paso porque he visto este tema del SQL-INJECTION, y quería comentar que hace poco me hicieron un Deface bastante interesante usando esa técnica. MIrando todos los formularios de la web, no se por donde me han conseguido entrar, así que sigo estando un poco "inseguro".

Yo, por mi parte he probado las típicas opciones que poneis por aquí, de las comillas o el ''=' (la que sea de ese estilo, ahora no recuerdo >_>), y no me cuela ninguna. Incluso la de los comentarios sale rechazada.

Además del Deface, escribieron un montonazo de código (una pagina entera), para subir sus archivos y subir una especie de spam-maker.

EDIT: Por cierto, lo del comentario -- no vale para nada si antes ya has comprobado bien lo de las comillas.