he visto preguntas genéricas, y ésta es una de las buenas.

Arma una consulta SQL que termine tal que así: \" WHERE telefono="&funcion_que_evita_sql_injection(request .form("telefono"))\"

Para referencias de SQL Injection, Sintaxis SQL, Sintaxis ASP, etc.... Buscador de forosdelweb.