Не попадайте в капана на интерполацията на низове! Не е сигурно.
Можете да използвате реални параметри на SQL заявка дори в ASP Classic.
Не съм ASP програмист, но намерих този блог с ясен пример за използване на обект ADODB.Command за параметризирана SQL заявка и обвързване на стойности с параметри преди изпълнение.
http://securestate.blogspot.com/2008 /09/classic-asp-sql-injection-prevention_30.html
Вижте също този въпрос SO за още няколко примера за използване на именувани параметри: