Hola.
Para evitar sql injection deberias hacerte una funcion para evitar las comillas dobles y el doble guion e incluso posteriormente el "Select" "Insert" "Drop"...
Seria con esta funcion.
Código:
Dim dni
dni=request.form("dni")
dni = Replace(dni," ' "," '' ")
dni = Replace(dni," - "," -- ")
Con eso valdria aunque si es un numero tendrias que comprobar si es un numero o evitar que contenta caracteres extraños a la hora de la inserción y devolver un error.
Saludos.