Jeśli używasz node-mysql, zrób to tak, jak mówi dokumentacja:
connection.query(
'SELECT * FROM table WHERE id=? LIMIT ?, 5',[ user_id, start ],
function (err, results) {
}
);
Dokumenty zawierają również kod do poprawnej ucieczki ciągów, ale użycie tablicy w wywołaniu zapytania automatycznie wykonuje tę zmianę za Ciebie.
https://github.com/felixge/node-mysql