防止 SQL 注入攻击是 Web 应用程序中非常重要的安全性问题之一。下面是一些在 Node.js 和 MySQL 中防止 SQL 注入攻击的建议和示例代码：

使用参数化查询

参数化查询是预处理 SQL 语句的最佳实践之一。这是一种在执行 SQL 查询时，将参数作为占位符传递的技术。在 MySQL 中，可以使用 ? 或 :name 占位符来表示参数，然后在执行查询时将实际参数值传递给查询。这样，无论传递什么参数，都不会对查询产生负面影响。

以下是一个示例：

const mysql = require('mysql');const connection = mysql.createConnection({  host: 'localhost',  user: 'yourusername',  password: 'yourpassword',  database: 'yourdatabase'});connection.connect();const username = 'testuser';const password = 'testpass';const sql = 'SELECT * FROM users WHERE username = ? AND password = ?';connection.query(sql, [username, password], function (error, results, fields) {  if (error) throw error;  console.log(results);});connection.end();

在上面的代码中，? 占位符表示需要传递两个参数。在调用 connection.query 方法时，第二个参数是一个数组，其中包含了实际的参数值，这样就可以防止 SQL 注入攻击。

对输入数据进行验证和过滤

验证和过滤输入数据是另一种防止 SQL 注入攻击的有效方法。可以使用正则表达式或其他技术来验证输入数据，以确保它们符合预期格式和类型。另外，应该过滤所有非必需字符，例如引号、分号等，以避免被误解为 SQL 语句的一部分。

以下是一个示例：

const mysql = require('mysql');const validator = require('validator');const connection = mysql.createConnection({  host: 'localhost',  user: 'yourusername',  password: 'yourpassword',  database: 'yourdatabase'});connection.connect();const username = 'testuser';const password = 'testpass';if (!validator.isAlphanumeric(username)) {  console.log('Invalid username');  return;}if (!validator.isAlphanumeric(password)) {  console.log('Invalid password');  return;}const sql = 'SELECT * FROM users WHERE username = ? AND password = ?';connection.query(sql, [username, password], function (error, results, fields) {  if (error) throw error;  console.log(results);});connection.end();

在上面的代码中，使用 validator 模块来验证输入数据。如果输入数据不是字母数字组合，将打印错误消息并退出查询。

使用 ORM 框架

ORM（Object-Relational Mapping）是一种将对象模型映射到关系数据库模型的技术。ORM 框架可以自动处理 SQL 查询，并使用参数化查询等技术来防止 SQL 注入攻击。在 Node.js 中，一些流行的 ORM 框架包括 Sequelize、TypeORM、Knex.js 等。这些框架可以大大简化数据库操作，同时提供了一些安全功能，例如参数化查询和数据验证，可以有效地防止 SQL 注入攻击。

以下是一个使用 Sequelize ORM 框架的示例：

const Sequelize = require('sequelize');const sequelize = new Sequelize('mysql://username:password@localhost:3306/mydatabase');const User = sequelize.define('user', {  id: {    type: Sequelize.INTEGER,    primaryKey: true,    autoIncrement: true  },  username: {    type: Sequelize.STRING,    allowNull: false,    unique: true  },  password: {    type: Sequelize.STRING,    allowNull: false  }});async function getUser(username, password) {  const user = await User.findOne({    where: {      username,      password    }  });  return user;}(async () => {  const user = await getUser('testuser', 'testpass');  console.log(user);})();

在上面的代码中，使用 Sequelize 定义了一个名为 User 的模型，包含 id、username 和 password 字段。getUser 函数使用 Sequelize 的查询功能来获取匹配的用户记录。Sequelize 会自动使用参数化查询和其他安全性功能来防止 SQL 注入攻击。

总之，防止 SQL 注入攻击需要采用多种方法，例如使用参数化查询、验证和过滤输入数据、使用 ORM 框架等。开发人员需要认真考虑这些问题，并采取适当的措施来保护应用程序免受攻击。