Nikdy nepoužívejte zřetězení řetězců pro dotazování, již máte mechanismus nazvaný připravený příkaz, podpis jako
.query('SELECT * FROM `books` WHERE `author` = ?', ['David'])
Vyčistí za vás vstup a částečně zabrání útokům sql-injection, také vždy provede ověření vstupních hodnot. A pokud nechcete používat ORM jako typeorm , Sequelize , můžete použít knex.js který může pouze vytvářet řetězce dotazů a plně spravovat interakci db