노드를 예로 들면


db.query('SELECT * FROM a WHERE id=?', val, function(err, result) {...});


여기에 val이 '123 OR 1=1' 이러면 인젝션 되는거 아닌가