muy buena explicacion WHK 

tifa, que no xD no hay forma de bypassear esa funcion... lo que pasa es que tienes que aplicar la funcion a absolutamente todos los datos que recibas, y... algunos ponen 15 y olvidan 1, es lo que les cuesta la owneada xD

como dije en el otro post, lo mas cómodo a nivel de código es usar las prepared statements que vienen siendo como procedimientos del lado del script (aplicable tambien a asp)

que? quieres que te demos una pagina vulnerable para que te la pwnees?

No quiero una web vulnerable para pwnearla, quiero un asp vulnerable para practica por LOCALHOST osea 127.0.0.1 NO UNA WEB PARA PWNEARLA

Nakp gracias por la web que me has dado me ha servido mucho

Saludos