文字列補間の罠にはまらないでください!安全ではありません。
ASPクラシックでも実際のSQLクエリパラメータを使用できます。
私はASPプログラマーではありませんが、パラメーター化されたSQLクエリにADODB.Commandオブジェクトを使用し、実行する前に値をパラメーターにバインドする明確な例が記載されたこのブログを見つけました。
http://securestate.blogspot.com/2008 / 09 / classic-asp-sql-injection-prevention_30.html
名前付きパラメーターの使用例については、このSOの質問も参照してください。
ASPパラメータ化されたクエリの従来の名前付きパラメータ:スカラー変数を宣言する必要があります