Gebruik nooit string-concatenatie voor query's, je hebt al een mechanisme met de naam voorbereide instructie, handtekening zoals
.query('SELECT * FROM `books` WHERE `author` = ?', ['David'])
Het zal de invoer voor u zuiveren en gedeeltelijk sql-injection-aanvallen voorkomen, en ook altijd de invoerwaarden valideren. En als je geen ORM wilt gebruiken zoals typeorm , Sequelize , kunt u knex.js . gebruiken die alleen queryreeksen kan maken en db-interactie volledig kan beheren