Si vous utilisez node-mysql, faites-le comme le dit la documentation :
connection.query(
'SELECT * FROM table WHERE id=? LIMIT ?, 5',[ user_id, start ],
function (err, results) {
}
);
Les documents contiennent également du code pour échapper correctement les chaînes, mais l'utilisation du tableau dans l'appel de requête effectue automatiquement l'échappement pour vous.
https://github.com/felixge/node-mysql