¡No caiga en la trampa de la interpolación de cadenas! No es seguro.
Puede utilizar parámetros de consulta SQL reales incluso en ASP Classic.
No soy un programador ASP, pero encontré este blog con un claro ejemplo de cómo usar un objeto ADODB.Command para una consulta SQL parametrizada y vincular valores a parámetros antes de ejecutar.
http://securestate.blogspot.com/2008 /09/clásico-asp-sql-injection-prevention_30.html
Consulte también esta pregunta SO para obtener más ejemplos del uso de parámetros con nombre:
ASP Parámetro con nombre clásico en consulta parametrizada:debe declarar la variable escalar
