Usar o HTMLEncode é uma prática de extrema necessidade, e que deve ser seguida quando deseja mostrar o conteúdo de um banco de dados em um site. Vou explicar a razão para isto:

Digamos que eu tenha um cadastro com um determinado campo, e que desejo mostrar este campo na tela do site. Isto é muito simples, basta usar:

Response.Write objRS("nome_do_campo")

Isto funcionara perfeitamente, porem, digamos que ao cadastrar-se, o usuário insere algumas palavras que indicam ser comandos ou códigos, e ou outras especificações que são de uso exclusivo do interpretador ASP. Como por exemplo, digamos que eu esteja criando um fórum em minha página, e alguém posta a seguinte mensagem:

Como eu utilizo o Response.Write? Ajudem-me!!!

Se eu não estiver usando o comando HTMLEncode para mostrá-lo na tela, terei uma surpresa no resultado, talvez os dados serão incompletos e ou talvez seja gerado um erro, isto depende muito de qual e como um código inserido em uma tabela é interpretado pelo ASP.

Recomendo então que você use o HTMLEncode, como no exemplo abaixo:

Response.Write Server.HTMLEncode( objRS("nome_do_campo") )

Agora, o interpretador ASP  apenas mostrará o conteúdo estático na tela, da maneira correta como foi escrito.

Escrito por Fabiano Dias - http://www.SuperASP.com.br