Nepoužil jsem to, ale když se podíváte na dokumenty, jde vám o tohle?
db.QueryRow("SELECT name FROM users WHERE id=?", userId)
Předpokládám, že by měl nahradit ?
s userId
bezpečným způsobem sql.
http://golang.org/pkg/database/sql/#DB.Query