Använd aldrig strängsammansättning för sökning, du har redan en mekanism som heter preparerat uttalande, signatur som
.query('SELECT * FROM `books` WHERE `author` = ?', ['David'])
Det kommer att rensa indata åt dig och delvis förhindra sql-injection attacker, gör också alltid validering av indatavärden. Och om du inte vill använda ORM som typeorm , Sequelize , kan du använda knex.js som bara kan skapa frågesträngar och helt hantera db-interaktion