Najlepszym sposobem jest użycie przygotowanych instrukcji lub zapytań (link do dokumentacji NPM mysql moduł:https://github.com/mysqljs/mysql#preparing-queries
)
var sql = "SELECT * FROM table WHERE userid = ?";
var inserts = [message.author.id];
sql = mysql.format(sql, inserts);
Jeśli przygotowane instrukcje nie są opcją (nie mam pojęcia, dlaczego nie byłoby), sposobem biednego człowieka na zapobieganie wstrzykiwaniu SQL jest ucieczka od wszystkich danych wejściowych dostarczonych przez użytkownika, jak opisano tutaj:https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping
