Moin,

SQL-Injektion meint, dass jemand in HTML-Formulare Code eingeben kann, der diesem im schlimmsten Fall Zugriff auf alle Deine Daten verschaffen kann.

Deshalb erst checken, ob Variable aus Formular übergeben wurde:

Dim zimmer
if Request.Form("Zimmer") <> "" then zimmer = Request.Form("Zimmer")

Dann den Input mit regexp überprüfen auf Sonderzeichen, wie '," etc.

Code weiss ich jetzt nicht auswendig, musst in google unter regexp suchen...

Was soll ich da einfügen bzw. was bewirkt es?

Erst wenn der Input aus einem Formular überprüft ist, solltest Du das SQL Statement ausführen, wegen Sicherheitsaspekten.

Gruss,
Tobi