1) Checa el FAQ y paseate por la biblioteca de funciones, hay muchas funciones que permiten hacerle el quite al SQL INJECTION.

2) no es necesario hacer el select count(*) from tabla where usuario = '"& usuario &"' and password = '"& password &"' para validar si la password esta correcta.
recoge la password asi select password from tabla whre usuario = '"& usuario &"'
luego el resultado lo comparas con la password entregada y te olvidas del asunto del SQL INJECTION

3) el SQL INJETION solo es EXPLOTABLE si es que no manejas los errores.
Usa ON ERROR RESUME NEXT y aprende a progamar de manera que tu propio codigo maneje los errores por si solo.