Den bedste måde er at bruge forberedte udsagn eller forespørgsler (link til dokumentation for NPM mysql modul:https://github.com/mysqljs/mysql#preparing-queries
)
var sql = "SELECT * FROM table WHERE userid = ?";
var inserts = [message.author.id];
sql = mysql.format(sql, inserts);
Hvis forberedte udsagn ikke er en mulighed (jeg aner ikke, hvorfor det ikke ville være det), er en fattig mands måde at forhindre SQL-injektion på at undslippe alle brugerleverede input som beskrevet her:https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping