Да, вы можете использовать параметризованные запросы в классическом ASP (точнее, в классическом ADO).
Вот ссылка .
Что касается вывода кодировки, у меня может возникнуть желание создать оболочку для последней библиотеки Microsoft Anti-XSS и вызвать ее с помощью Server.CreateObject. Я далеко не эксперт в такого рода вещах, поскольку я провожу гораздо больше времени в .Net, поэтому думаю, что это сработает.
Server.HTMLEncode на самом деле недостаточно хорош, так как он лишь помещает в черный список несколько символов кодирования. Библиотека Anti-XSS намного лучше, так как она включает в себя то, что приемлемо.