Não caia na armadilha da interpolação de strings! Não é seguro.

Você pode usar parâmetros de consulta SQL reais mesmo no ASP Classic.

Eu não sou um programador ASP, mas encontrei este blog com um exemplo claro de como usar um objeto ADODB.Command para uma consulta SQL parametrizada e vincular valores a parâmetros antes de executar.

http://securestate.blogspot.com/2008 /09/classic-asp-sql-injection-prevention_30.html

Veja também esta pergunta SO para mais alguns exemplos de uso de parâmetros nomeados:

ASP Parâmetro nomeado clássico na consulta parametrizada:deve declarar a variável escalar