Brug aldrig strengsammenkædning til forespørgsler, du har allerede en mekanisme kaldet forberedt erklæring, signatur som
.query('SELECT * FROM `books` WHERE `author` = ?', ['David'])
Det vil rense input for dig og delvist forhindre sql-injection angreb, også altid foretage validering af input værdier. Og hvis du ikke ønsker at bruge ORM som typeorm , Sequelize , kan du bruge knex.js som kun kan oprette forespørgselsstrenge og fuldt ud administrere db-interaktion