Si está utilizando node-mysql, hágalo como dicen los documentos:
connection.query(
'SELECT * FROM table WHERE id=? LIMIT ?, 5',[ user_id, start ],
function (err, results) {
}
);
Los documentos también tienen código para el escape adecuado de cadenas, pero el uso de la matriz en la llamada de consulta hace el escape automáticamente por usted.
https://github.com/felixge/node-mysql