Non cadere nella trappola dell'interpolazione delle stringhe! Non è sicuro.
È possibile utilizzare parametri di query SQL reali anche in ASP Classic.
Non sono un programmatore ASP, ma ho trovato questo blog con un chiaro esempio di utilizzo di un oggetto ADODB.Command per una query SQL parametrizzata e di associazione di valori ai parametri prima dell'esecuzione.
http://securestate.blogspot.com/2008 /09/classic-asp-sql-injection-prevention_30.html
Vedi anche questa domanda SO per altri esempi di utilizzo di parametri denominati:
ASP Parametro con nome classico nella query parametrizzata:deve dichiarare la variabile scalare