Никога не използвайте конкатенация на низове за заявки, вече имате механизъм, наречен подготвен израз, подпис като
.query('SELECT * FROM `books` WHERE `author` = ?', ['David'])
Той ще дезинфекцира входа вместо вас и частично ще предотврати атаки с инжектиране на sql, също така винаги ще прави проверка на входните стойности. И ако не искате да използвате ORM като typeorm , Sequelize , можете да използвате knex.js който може само да създава низове на заявки и да управлява напълно db взаимодействие
