Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog

https://blog.flatt.tech/entry/node_mysql_sqlinjection

mysqljs/mysql でオブジェクト型などの値を渡すと意図しない挙動をするケースを紹介する記事