Fald ikke i strenginterpolationsfælden! Det er ikke sikkert.
Du kan bruge rigtige SQL-forespørgselsparametre selv i ASP Classic.
Jeg er ikke en ASP-programmør, men jeg fandt denne blog med et tydeligt eksempel på brugen af et ADODB.Command-objekt til en parameteriseret SQL-forespørgsel og binding af værdier til parametre før udførelse.
http://securestate.blogspot.com/2008 /09/classic-asp-sql-injection-prevention_30.html
Se også dette SO-spørgsmål for nogle flere eksempler på brug af navngivne parametre:
ASP Klassisk navngivet parameter i paramatiseret forespørgsel:Skal erklære den skalære variabel