eu descobri o modo que ele fez isto foi sim na parte de noticias tem a index.asp, quando vc clica em cima de alguma noticia, vai para a pagina noti.asp?Id=15 certo, ae que começamos a descobrir pq se eu fizer isto.
www.site.com.br/noti.asp?Id=15+update+tb_noticias+set+titulo='123'
ele vai dar um update em todas as tabelas com o titulo 123
eu tentei fazer uma função que limpasse todos os update insert e tal com o replace mais naum deu certo:
Function LimpaLixo( input )
dim lixo
dim textoOK
lixo = array ("select", "drop", ";", "--", "insert", "delete", "xp_", "update")
textoOK = input
for i = 0 to LBound(lixo)
textoOK = replace( textoOK, lixo(i), "")
Next
LimpaLixo = textoOK
End Function
ele continua fazendo o upload, alguem sabe como proteger sobre isto criando uma função que proteja mesmo
vlw