Om du är säker på att datasetName
kommer aldrig att innehålla någon möjlighet till SQL-injektioner, du kan direkt infoga tabellnamnet i frågan, så här:
sequelize
.query("LOAD DATA LOCAL INFILE :file
INTO TABLE dataset_" + datasetName + "
FIELDS TERMINATED BY ',' ENCLOSED BY '\"' LINES TERMINATED BY '\n';",
null,
{raw:true}, {file: datasetPath})
Kommentaren från mwarren fungerar inte riktigt i det här fallet - Sequelize ser att det är en sträng som sätts in, och därför undkommer den.