Ne tombez pas dans le piège de l'interpolation de chaîne ! Ce n'est pas sécurisé.
Vous pouvez utiliser de vrais paramètres de requête SQL même dans ASP Classic.
Je ne suis pas un programmeur ASP, mais j'ai trouvé ce blog avec un exemple clair d'utilisation d'un objet ADODB.Command pour une requête SQL paramétrée et de liaison des valeurs aux paramètres avant l'exécution.
http://securestate.blogspot.com/2008 /09/classic-asp-sql-injection-prevention_30.html
Consultez également cette question SO pour d'autres exemples d'utilisation de paramètres nommés :
ASP Paramètre nommé classique dans une requête paramétrée :doit déclarer la variable scalaire
