Função para proteção contra sql injection não filtra

Pessoal estou usando uma função ná página de ação de um formulario

para limpar de possiveis códigos maliciosos.

function LimparTexto(str)
str = trim(str)
str = lcase(str)
str = replace(str,"=","")
str = replace(str,"'","")
str = replace(str,"""""","")
str = replace(str," or ","")
str = replace(str," and ","")
str = replace(str,"(","")
str = replace(str,")","")
str = replace(str,"<","[")
str = replace(str,">","]")
str = replace(str,"update","")
str = replace(str,"-shutdown","")
str = replace(str,"--","")
str = replace(str,"'","")
str = replace(str,"#","")
str = replace(str,"$","")
str = replace(str,"%","")
str = replace(str,"¨","")
str = replace(str,"&","")
str = replace(str,"'or'1'='1'","")
str = replace(str,"--","")
str = replace(str,"insert","")
str = replace(str,"drop","")
str = replace(str,"delet","")
str = replace(str,"xp_","")
str = replace(str,"select","")
str = replace(str,"*","")
LimparTexto = str
end function

v_credencial = server.htmlEncode(request.form(LimparTexto("usuario")))

v_pass = server.htmlEncode(request.form(LimparTexto("senha")))

No formulario eu escrevo alguns código e na pagina de ação dou um response.write para ver se excluiu,

mas não exclui... a string fica do mesmo jeito que postei no campo do formulário...

por exemplo: coloco: 'or'1'='1' tanto no usuário como na senha e na página de ação é exibido do mesmo jeito.

Algum sabe como filtrar o conteudo de campos de formulario contra sql injection?