Tappen Sie nicht in die String-Interpolationsfalle! Es ist nicht sicher.
Sie können sogar in ASP Classic echte SQL-Abfrageparameter verwenden.
Ich bin kein ASP-Programmierer, aber ich habe diesen Blog mit einem klaren Beispiel für die Verwendung eines ADODB.Command-Objekts für eine parametrisierte SQL-Abfrage und das Binden von Werten an Parameter vor der Ausführung gefunden.
http://securestate.blogspot.com/2008 /09/classic-asp-sql-injection-prevention_30.html
Siehe auch diese SO-Frage für weitere Beispiele zur Verwendung benannter Parameter:
ASP Klassischer benannter Parameter in parametrisierter Abfrage:Muss die Skalarvariable deklarieren
