Най-добрият начин е да използвате подготвени изрази или заявки (връзка към документация за NPM mysql
модул:https://github.com/mysqljs/mysql#preparing-queries
)
var sql = "SELECT * FROM table WHERE userid = ?";
var inserts = [message.author.id];
sql = mysql.format(sql, inserts);
Ако подготвените изявления не са опция (нямам представа защо не би било), начинът на бедния човек да предотврати SQL инжекцията е да избегне всички въведени от потребителя данни, както е описано тук:https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping