Wenn Sie node-mysql verwenden, machen Sie es so, wie es in der Dokumentation steht:
connection.query(
'SELECT * FROM table WHERE id=? LIMIT ?, 5',[ user_id, start ],
function (err, results) {
}
);
Die Dokumentation enthält auch Code für das korrekte Maskieren von Zeichenfolgen, aber die Verwendung des Arrays im Abfrageaufruf erledigt das Maskieren automatisch für Sie.
https://github.com/felixge/node-mysql